Một mã khóa API Gemini bị đánh cắp đã biến tờ tiền 180 đô la thành 82.000 đô la chỉ trong hai ngày

Sự cố hy hữu nhưng đầy cảnh báo này vừa được một thành viên trong nhóm chia sẻ trên Reddit, làm dấy lên những tranh luận nảy lửa về trách nhiệm bảo mật giữa nhà cung cấp dịch vụ đám mây và người dùng trong kỷ nguyên AI.

Hóa đơn "trên trời rơi xuống"

Theo chia sẻ, khóa API Google Cloud của dự án đã bị lộ trong khoảng thời gian ngắn từ ngày 11 đến 12 tháng 2 năm 2026. Kẻ tấn công đã tận dụng kẽ hở này để truy cập ồ ạt vào các dịch vụ cao cấp như Gemini 3 Pro Image và Gemini 3 Pro Text.

Kết quả là một con số không tưởng: Chi phí từ mức trung bình 180 USD/tháng đã vọt lên 82.314,44 USD chỉ trong vòng 48 giờ. Với một công ty nhỏ đang hoạt động với ngân sách thắt chặt, con số này không khác gì một bản án tử hình cho doanh nghiệp. Ngay cả khi được giảm 2/3 số tiền, họ cho biết mình vẫn không đủ khả năng chi trả.

Cuộc chiến lý lẽ: Lỗi tại ai?

Phản hồi về sự việc, đại diện từ Mountain View (Google) đưa ra quan điểm cứng rắn dựa trên Mô hình Trách nhiệm Chung (Shared Responsibility Model). Theo đó:

Nhà cung cấp: Chịu trách nhiệm về hạ tầng và nền tảng.
Người dùng: Phải tự bảo vệ thông tin xác thực và triển khai các biện pháp bảo mật cần thiết.

Google khẳng định khách hàng phải tự chịu trách nhiệm khi khóa xác thực bị xâm phạm. Ngược lại, nhóm lập trình viên Mexico quả quyết họ không mắc lỗi vận hành "rõ ràng" nào và đã nhanh chóng vô hiệu hóa API, đổi khóa và bật xác thực hai yếu tố (2FA) ngay khi phát hiện bất thường.

Nhóm này lập luận rằng các nền tảng đám mây cần có cơ chế "phanh khẩn cấp". Việc doanh thu tăng vọt gấp 455 lần trong 48 giờ là một dấu hiệu lạm dụng rõ rệt, không thể coi là biến động sử dụng bình thường. Họ cho rằng hệ thống lẽ ra phải tự động tạm dừng dịch vụ để xác minh thay vì cứ thế "thả cửa" tính tiền.

Lời cảnh báo cho cộng đồng Dev

Sự việc vẫn đang trong quá trình thương lượng nhưng chưa có tín hiệu khả quan từ phía Google. Nhóm phát triển hiện đã đệ đơn khiếu nại lên FBI để điều tra hành vi xâm nhập trái phép.

Vụ việc này để lại nhiều bài học xương máu cho giới lập trình viên khi làm việc với các API AI tiêu tốn nhiều tài nguyên:

Tuyệt đối không hard-code khóa API: Luôn sử dụng biến môi trường hoặc các dịch vụ quản lý bí mật (Secret Manager).
Thiết lập hạn mức chi tiêu (Billing Quotas): Đây là "phao cứu sinh" quan trọng nhất để chặn đứng các hóa đơn nghìn đô trước khi chúng kịp hình thành.
Cảnh giác với kho lưu trữ công khai: Dù nhóm lập trình viên phủ nhận, nhưng việc vô tình đẩy khóa API lên GitHub vẫn là nguyên nhân hàng đầu dẫn đến các vụ rò rỉ tương tự.

Câu chuyện của nhóm phát triển Mexico là lời nhắc nhở rằng trong kỷ nguyên AI, một sai lầm nhỏ về bảo mật có thể dẫn đến hậu quả tài chính khủng khiếp, vượt xa khả năng xử lý của bất kỳ startup nào.

Razer Atlas Pro ra mắt: Lót chuột kính mỏng nhất thế giới, hướng tới game thủ chuyên nghiệp

Điểm nổi bật nhất của Atlas Pro nằm ở độ dày chỉ 1,9mm, thấp hơn đáng kể so với mặt bằng chung của các lót chuột kính hiện nay (thường trên 3mm). Thiết kế này giúp bề mặt di chuột gần như “hòa” vào mặt bàn, giảm cảm giác gờ khi đặt cổ tay, từ đó mang lại trải nghiệm liền mạch hơn trong quá trình sử dụng lâu dài.

Razer ra mắt Hammerhead V3 HyperSpeed: Tai nghe gaming không dây đa nền tảng, tối ưu cho game thủ di động

Điểm nhấn lớn nhất của Hammerhead V3 HyperSpeed nằm ở khả năng kết nối kép, cho phép chuyển đổi giữa chuẩn không dây 2.4GHz thông qua Razer HyperSpeed Wireless và Bluetooth 6.0.

Lượng khách yêu cầu bảo hành của NVIDIA đã tăng 1000% kể từ khi ra mắt GPU có đầu nối 16 chân

Sang năm 2025, con số này đã nhảy vọt lên 894 triệu USD – mức tăng gây bất ngờ ngay cả trong bối cảnh ngành phần cứng đang biến động mạnh.

GoPro Mission 1 ra mắt: tham vọng giành lại thị phần với cảm biến 1 inch và quay 8K

Điểm đáng chú ý nhất trên dòng Mission 1 nằm ở cảm biến 50MP kích thước 1 inch – một nâng cấp hiếm thấy trong phân khúc camera hành động.

Corsair AI Workstation 300 bất ngờ tăng giá mạnh chạm mốc 3.400 USD

Corsair AI Workstation 300 từng được giới thiệu như một mini PC mạnh mẽ dành cho người dùng chạy AI và LLM tại chỗ, nhưng hiện tại toàn bộ các cấu hình của sản phẩm này đều đã tăng giá đáng kể. Phiên bản cao cấp nhất thậm chí đã chạm mốc gần 3.400 USD, khiến nhiều người đặt câu hỏi về giá trị thực tế của thiết bị trong bối cảnh thị trường phần cứng AI đang biến động mạnh.

Người dùng có thể “độ” case Corsair Frame 4000D tùy thích, giá từ 100 đến hơn 1.000 USD

Corsair đang mang đến một cách tiếp cận mới cho thị trường vỏ máy tính với Frame 4000D – mẫu case cho phép tùy chỉnh gần như mọi chi tiết thông qua công cụ cấu hình trực tuyến. Từ mặt trước, khay bo mạch chủ đến cổng kết nối và phụ kiện, người dùng có thể tự thiết kế chiếc case theo phong cách riêng với mức giá linh hoạt.

Razer Pro Type Ergo ra mắt tại Việt Nam: Bàn phím công thái học, tích hợp AI và Command Dial, pin tới 3 tháng

Inphic vừa giới thiệu mẫu chuột chơi game IN10 (IN103D) với điểm nhấn nằm ở công nghệ in 3D thay vì thông số phần cứng thuần túy. Thiết bị sử dụng lớp vỏ nhựa quang nhạy được in 3D, cấu trúc tổ ong mô phỏng sinh học và cảm biến PixArt cao cấp, hướng đến game thủ muốn trải nghiệm nhẹ và thoáng hơn khi sử dụng lâu dài.

Chuột gaming in 3D Inphic IN10 ra mắt: Vỏ tổ ong, DPI 30.000, polling rate 8.000Hz

Corsair Vanguard Air 99 Wireless review: Sự kết hợp hoàn hảo giữa công việc, gaming và streaming

Sau thời gian sử dụng Corsair Vanguard Air 99 Wireless cho cả công việc và gaming, cảm nhận chung là sự cân bằng rất tốt giữa hiệu năng và tiện dụng. Corsair Vanguard Air 99 Wireless thể hiện rõ sức mạnh khi bước vào môi trường gaming.