一個 Google API key 外洩,月帳單從 180 美元兩天內衝到 82,000 美元,重點不是粗心,而是 API key 現在直接等於錢
這是開發者 Jacopo Castellano 寫下的真實案例。他平常每月在 Gemini 相關服務的花費大約 180 美元,一把 key 外流之後,兩天內帳單跳到 82,000 美元。攻擊者沒有偷走他任何資料,只是拿他的額度跑自己的推論工作。
這類攻擊有個名字叫 LLMjacking,由資安公司 Sysdig 在 2024 年 5 月命名。概念很單純:攻擊者拿到一把能存取 AI 服務的憑證,就用它去跑推論,帳單算在你頭上。它跟過去的 cryptojacking(挖礦綁架)邏輯一樣,都是偷算力,差別在於 LLM 推論的單價高很多,燒錢速度也快很多。Sysdig 記錄過的案例裡,有受害者一天就被跑出超過 46,000 美元;也有人的個人 AWS 帳號從每月 2 美元,兩三個小時內爆到 730 美元。
為什麼這件事現在才變嚴重,有兩個原因。
第一個是 API key 的性質變了。過去 credential 外洩,主要的風險是資料被看光。但 AI 服務的 key 不一樣,它能直接換算成計算資源,而計算資源有現成的買家。攻擊者不需要做任何資料竊取或權限提升,拿到 key、發一個 HTTP request 就開始燒你的錢。GitGuardian 的 2026 年報告指出,2025 年光是公開 GitHub repo 就新增了 2,865 萬筆寫死的 secrets,年增 34%;其中 AI 服務憑證是成長最快的類別,年增 81%。IBM X-Force 的 2026 威脅情報報告也提到,2025 年有超過 30 萬組 ChatGPT 帳密在暗網上被兜售。
第二個原因是這件事已經產業化了。資安公司 Pillar Security 在 2025 年 12 月到 2026 年 1 月之間,用蜜罐捕捉到一個叫 Operation Bizarre Bazaar 的行動,40 天內 35,000 次攻擊工作階段,平均一天 972 次。它背後是一條完整的供應鏈:掃描器在網路上找暴露的 AI 端點,驗證器測試這些端點能不能用,最後一個地下市集把存取權以 4 到 6 折轉賣出去,涵蓋 30 多家 LLM 供應商,收加密貨幣也收 PayPal。換句話說,攻擊 AI 基礎設施這件事,現在不需要任何技術能力,可以直接用買的。
而 AI 工具本身正在製造更多破口。GitGuardian 發現,AI 協助產生的 commit 洩漏 secrets 的比率是 3.2%,大約是一般情況的兩倍。原因不難理解:你請 Copilot 或 Cursor 幫你接一個 OpenAI 整合,它常常產出一段帶 `OPENAI_API_KEY = "sk-..."` 佔位符的範例碼,你填了真的 key 進去測試,忘了搬到環境變數,就推上去了。一個公開 commit 從推送到第一次被濫用,中位數時間不到四分鐘。
Google 還踩過一個設計上的雷。它的 API key 一直用 `AIza` 開頭,這種 key 最早是設計給 Google Maps 嵌入這類低風險用途的,當年大家就是直接寫進前端 JavaScript。後來 Google 把 Gemini 接到同一套 key 系統,那些早就公開在網頁原始碼裡好幾年的 key,無聲無息地多了呼叫昂貴 AI 端點的能力。
那該怎麼防?這裡有五個動作,每個用 AI API key 的人和團隊都該立刻檢查一遍。
一,API key 不要硬寫進程式碼,更不要 commit 進 repo。要清楚一件事:只要進過 git 歷史,就算你後來刪掉,那把 key 永遠都在歷史裡,任何 clone 過的人都拿得到,必須直接當作已經外洩來處理。
二,用 secret manager 集中管理憑證,並定期輪替。靜態的長期 key 是這整個問題的根源,能用短期 token 或 proxy 取代就取代。
三,在供應商端設定硬性上限,不要只設 alert。alert 是事後通知,hard limit 才是真正的保險絲。設了 200 美元上限,外洩的 key 最多燒掉 200 美元就停。
四,監控異常用量,特別注意非上班時間的推論 spike。費用突然跳高往往是 LLMjacking 最早、有時也是唯一的徵兆,而它該同時被資安和財務兩邊看到,不是只當成財務問題。
五,評估用 OpenAI 的 project-scoped key、Anthropic 的 workspace 範圍來縮小單把 key 的影響範圍。
這些動作沒有一個是難的,難的是在一切還沒出事、你正在趕進度的時候,願意停下來把它做完。過去我們把 API key 當成設定值,一個小麻煩;現在它的外洩成本,已經跟雲端儲存資料外洩同一個等級了。它值得被當成那個等級的東西來對待。
---
來源:
- [The $82,000 mistake: how to secure your AI API keys before it's too late — Jacopo Castellano](https://jacopocastellano.com/blog/ai-api-key-security/)
- [LLMjacking: From Emerging Threat to Black Market Reality — Sysdig](https://www.sysdig.com/blog/llmjacking-from-emerging-threat-to-black-market-reality)
- [Operation Bizarre Bazaar — Pillar Security](https://www.pillar.security/blog/operation-bizarre-bazaar-first-attributed-llmjacking-campaign-with-commercial-marketplace-monetization)
- [Why 28 million credentials leaked on GitHub in 2025 — Snyk / GitGuardian State of Secrets Sprawl 2026](https://snyk.io/articles/state-of-secrets/)
- [2026 X-Force Threat Intelligence Index — IBM](https://www.ibm.com/think/x-force/threat-intelligence-index-2026-securing-identities-ai-detection-risk-management)
- [LLMjacking: How Attackers Steal AI API Keys and Run Up Your Bill — Keyrua](https://keyrua.dev/blog/llmjacking-how-attackers-steal-ai-api-keys)
