- Firebase browser key बिना किसी API restrictions के exposed थी, जिसके कारण बाहर से Gemini API requests अपने-आप होने लगे और बहुत कम समय में भारी बिलिंग हो गई
- वास्तविक user traffic से असंबंधित रहते हुए 13 घंटों में €54,000 से अधिक का खर्च चार्ज हुआ, और cost alerts देर से trigger हुए जिससे प्रतिक्रिया में देरी हुई
- Google Cloud support team ने इन requests को valid usage के रूप में classify किया और billing adjustment request को अस्वीकार कर दिया
- Google ने spend caps, Auth key, automatic key blocking, prepaid billing जैसी सुरक्षा सुविधाएँ शुरू की हैं, और unrestricted key usage को चरणबद्ध तरीके से बंद करने की योजना है
- डेवलपर्स को client code में keys शामिल नहीं करनी चाहिए, और API key restrictions तथा budget limits ज़रूर सेट करने चाहिए
Firebase browser key exposure की वजह से Gemini API billing spike का मामला
-
घटना का सार
- पहले केवल Firebase Authentication इस्तेमाल करने वाले प्रोजेक्ट में Firebase AI Logic सक्रिय करते ही Gemini API usage अचानक बढ़ गया
- वास्तविक user traffic से अलग automated requests बहुत कम समय में आने लगे, जिससे लगभग 13 घंटों में €54,000 से अधिक की बिलिंग हुई
- API को disable करने और credentials को rotate करने के after असामान्य traffic रुक गया
- budget alert (€80) और cost anomaly detection alert कई घंटे की देरी से trigger हुए, और प्रतिक्रिया के समय तक लगभग €28,000 का खर्च हो चुका था
- अंतिम billed amount delayed cost reporting के कारण €54,000 से अधिक तय हुई
-
Google Cloud support का परिणाम
- logs और analysis material जमा करने के बावजूद, requests को प्रोजेक्ट से उत्पन्न valid usage माना गया और billing adjustment request अस्वीकार कर दी गई
- यह usage असामान्य था और user-driven traffic नहीं था, फिर भी सिस्टम ने इसे सामान्य billable usage के रूप में संसाधित किया
-
उपयोगकर्ता के प्रश्न
- Firebase AI Logic या Gemini सक्षम करने के बाद ऐसे मिलते-जुलते मामले मौजूद हैं या नहीं, यह पूछा गया
- App Check, quotas, server-side calls पर migration के अलावा कोई अतिरिक्त सुरक्षा उपाय हैं या नहीं, यह पूछा गया
- ऐसे मामलों के लिए कोई अतिरिक्त escalation path मौजूद है या नहीं, यह भी पूछा गया
Google की प्रतिक्रिया (Logan Kilpatrick)
-
बिलिंग और usage limit सुविधाएँ
- Gemini API users के लिए billing account caps शुरू किए गए हैं, और Tier 1 users को monthly $250 limit के बाद अपने-आप block कर दिया जाता है
- project spend caps सेट किए जा सकते हैं; उदाहरण के लिए personal account को $50 तक सीमित किया जा सकता है
- सभी billing reports में लगभग 10 मिनट की delay होती है
-
API key security और बदलाव
-
unrestricted API key का उपयोग जल्द ही Gemini API में disable किया जाएगा
- नए users के लिए default रूप से Auth key बनाई जाती है, जो पहले की तुलना में ज़्यादा secure है
- client code में keys शामिल नहीं करनी चाहिए; exposed होने पर cost लग सकती है
- public web पर key exposed होने पर automatic detection और disable की सुविधा है, और कुछ मामलों में यह कुछ मिनटों में block भी हुई है
-
key restrictions और service scope
-
Google AI Studio में बनाई गई keys default रूप से Gemini API only के लिए restricted होती हैं
- जबकि Google Cloud Console जैसे अन्य रास्तों से बनाई गई keys कई services तक पहुँच सकती हैं, इसलिए ज़रूरत पड़ने पर service-specific restrictions सेट करनी चाहिए
-
अतिरिक्त कदम और आगे की योजना
- मामले की समीक्षा के लिए सीधे email (Lkilpatrick@google.com) पर संपर्क करने को कहा गया
- prepaid billing सिस्टम शुरू किया गया है, जिससे use से पहले payment मॉडल की ओर बदला जा रहा है
- यह फिलहाल अमेरिका के नए accounts पर लागू हो चुका है और दुनिया भर में चरणबद्ध रूप से फैलाया जा रहा है
- इन कदमों का उद्देश्य डेवलपर्स के लिए cost control और unexpected billing prevention को मज़बूत करना है
अभी कोई टिप्पणी नहीं है.