Yapay zeka teknolojilerinin hızla geliştiği bu dönemde, güvenlik açıkları da beraberinde endişe verici olayları getiriyor. Buna son örnek, Google'ın Gemini yapay zeka hizmetini kullanan bir yazılım geliştirme firmasının başına geldi. Firmanın, çalınan bir Gemini API anahtarı yüzünden sadece iki günde 82 bin doları aşan bir fatura ile karşı karşıya kalması, hem şirketi hem de teknoloji dünyasını şok etti.
Şirket, olağan aylık harcamasının yaklaşık 180 dolar civarında olduğunu belirtirken, geçtiğimiz ay içinde sadece 48 saatte 82.314,44 dolarlık bir harcama yapıldığını fark etti. Hırsızın, ele geçirdiği API anahtarını kullanarak Gemini 3 Pro modelinden sayısız görsel ve metin ürettiği ortaya çıktı. Eğer Google bu beklenmedik ve yüksek meblağlı faturaları silmezse, firmanın iflas etme tehlikesiyle karşı karşıya olduğu ifade ediliyor.
Yaşanan bu olayın ardından firma, derhal çalınan anahtarı devre dışı bıraktı, Gemini API'lerini kapattı, kimlik bilgilerini güncelledi, iki faktörlü kimlik doğrulama (2FA) sistemini tüm hesaplarda etkinleştirdi, erişim politikalarını sıkılaştırdı ve bir destek talebi oluşturdu. Ancak, Google'dan gelen ilk geri bildirimler, yapılan harcamaların geçerli sayılacağı yönünde. Google'ın, bulut hizmetlerinde 'Paylaşımlı Sorumluluk Modeli'ne dayanarak, kullanıcıların kimlik bilgilerini koruma yükümlülüğünü hatırlattığı belirtiliyor.
Bazı uzmanlar ise, çalınan API anahtarlarının kolayca erişilebilir olmasının Google'ın kendi güvenlik politikalarındaki değişikliklerden kaynaklanabileceğini öne sürüyor. Firmanın avukatı tarafından yapılan açıklamada, Google'ın "katastrofik kullanım anomalilerine karşı temel güvenlik önlemleri" sunmadığı dile getirildi. Olağan 180 dolarlık kullanımdan, 48 saat içinde 82 bin dolarlık bir harcama artışının ekstrem bir durum olduğu vurgulanarak, hizmetleri geçici olarak dondurma veya API bazında harcama limitleri belirleme gibi özelliklerin olması gerektiği ifade edildi.
Bu tür kritik hizmetlerde aylık ücretlendirme sınırlarının olması ve özellikle kurumsal kullanıcılara yönelik bütçe uyarıları gibi özelliklerin mevcut olmasına rağmen, bu durumun yaşanması dikkat çekiyor. Firma, yaşanan siber güvenlik olayının mağduru olduklarını belirterek, Google'dan "iyi niyet kredisi" talep etmeyi planlıyor. Olayın, mağduriyetin giderilmesi için yetkililerle iletişime geçilerek çözülme umudu devam ediyor.
