ช็อก! นักศึกษาทำ Gemini API Key หลุดบน GitHub ถูกแอบเอาไปใช้ ถูก Google Cloud ฟันบิลกว่า 2 ล้านบาท
นักศึกษาวิทยาการคอมพิวเตอร์จากจอร์เจียสมัครใช้งาน Google Cloud ด้วยอีเมลนักศึกษา เพื่อทดลองเล่น Gemini API บนเครดิตฟรี 300 ดอลลาร์ของบัญชีทดลอง ซึ่งเจ้าตัวใช้เงินจริงไปไม่ถึง 80 ดอลลาร์และเข้าใจว่าตัวเองยังอยู่ในโหมด “เล่นฟรี” อย่างสบายใจ. จุดหักเหเกิดขึ้นเมื่อเขาเผลอนำ Gemini API key ขึ้น GitHub โดยคิดว่าที่เก็บโค้ดเป็นแบบ private ทั้งที่จริงเป็น public ทำให้บอตและผู้ไม่หวังดีสแกนเจอและเริ่มยิงคำขอเข้า API แบบถล่มทลายในเวลาต่อมา.
ในช่วงปิดเทอมฤดูร้อนนักศึกษาแทบไม่ได้เปิดอีเมลของมหาวิทยาลัย ทำให้ไม่เห็นสัญญาณเตือนการใช้งานผิดปกติเลย แม้บัตรเครดิตที่ผูกกับบัญชีจะหมดอายุก่อนแล้ว แต่ระบบก็ยังคำนวณค่าบริการต่อเนื่องจนยอดพุ่งไปที่ 55,444.78 ดอลลาร์ หรือราวเกือบ 2 ล้านบาท โดยมีการยิงคำขอไปยัง Gemini API มากกว่า 14,200 ครั้งภายในสองวัน แม้คำขอเหล่านั้นจะล้มเหลวเกือบทั้งหมดแต่ก็ยังถูกคิดค่าบริการตามปกติ. เมื่อเขาเพิ่งมารู้ตัวในเดือนกันยายนก็พบว่าถูกออกใบแจ้งหนี้หลายรอบ ทั้งในช่วงมิถุนายน สิงหาคม และตั้งแต่ 1–7 กันยายน รวมกันเป็นภาระหนี้ที่เกินกำลังของนักศึกษาที่มีรายได้เฉลี่ยวันละไม่กี่ดอลลาร์จะรับได้.
หลังพบปัญหา เจ้าตัวรีบเพิกถอน API key ติดต่อทีม Google Cloud Billing ส่งหลักฐานการใช้งาน ลิงก์ GitHub สกรีนช็อต และถึงขั้นแจ้งตำรวจ แต่คำตอบรอบแรกจาก Google คือยอดบิลทั้งหมด “ถูกต้องและไม่สามารถยกเลิกได้” พร้อมแจ้งว่าหากไม่จ่ายตามกำหนด 10 วัน ยอดหนี้จะถูกส่งต่อให้บริษัททวงหนี้ภายนอกดำเนินการต่อ. นักศึกษาจึงนำเรื่องทั้งหมดมาเล่าอย่างละเอียดในชุมชน r/googlecloud บน Reddit กลายเป็นประเด็นร้อนในวงการคลาวด์และ AI มีสื่อเทคโนโลยีและผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากหยิบไปขยายผลต่อ.
เรื่องนี้จบแบบ “แฮปปี้เอนดิ้ง” เมื่อกระแสในชุมชนและสื่อกดดันจน Google กลับมาทบทวนเคสอีกครั้ง และตัดสินใจยกเลิกหนี้จำนวนกว่า 55,000 ดอลลาร์ทั้งหมดให้ในที่สุด ซึ่งเจ้าตัวอัปเดตเมื่อปลายเดือนกันยายนว่าไม่มีภาระหนี้ติดตัวแล้ว. แต่ก็เป็นคำเตือนสำคัญว่า ถ้าเขาไม่โพสต์เรื่องนี้บน Reddit จนกลายเป็นไวรัลและถูกสื่อหยิบไปขยายเรื่องราว มีโอกาสสูงมากที่เคสนี้จะจบลงเพียงการส่งเรื่องเข้าสู่บริษัททวงหนี้ โดยที่ชีวิตของนักศึกษาคนหนึ่งอาจพังยาวนานจากบิลที่ตนเองไม่ได้ก่อ