Sebuah perusahaan rintisan kecil mendadak menghadapi tagihan lebih dari 82 ribu dolar AS setelah kunci API Google Gemini miliknya diduga dicuri dan disalahgunakan hanya dalam waktu dua hari. Angka tersebut melonjak drastis dibanding pengeluaran rutin bulanan mereka yang biasanya sekitar 180 dolar AS.
Insiden ini bermula ketika kunci API Google Cloud milik perusahaan yang berbasis di Meksiko itu digunakan pihak tak dikenal untuk mengakses layanan Gemini 3 Pro Image dan Gemini 3 Pro Text. Dalam kurun 48 jam, pemakaian tersebut memicu biaya sebesar 82.314,44 dolar AS. Begitu menyadari adanya aktivitas tidak wajar, tim langsung menghapus kunci yang diduga bocor, menonaktifkan layanan Gemini, serta mengganti kredensial akses. Namun langkah tersebut tidak serta merta menyelesaikan persoalan tagihan.
Menurut pengakuan pengembang tersebut di forum daring, Google merujuk pada model tanggung jawab bersama, yaitu penyedia platform mengamankan infrastruktur, sementara pengguna bertanggung jawab menjaga kredensial mereka sendiri. Artinya, biaya yang timbul tetap dibebankan kepada pemilik akun, meskipun penggunaan dilakukan oleh pihak yang tidak berwenang. Bagi perusahaan kecil dengan tiga orang pengembang, tagihan sebesar itu bisa berarti kebangkrutan.
Kasus ini bukan peristiwa tunggal. Peneliti dari perusahaan keamanan siber Truffle Security menemukan ribuan kunci API Google yang masih aktif dan dapat digunakan untuk mengakses Gemini. Dalam pemindaian terhadap jutaan situs web, mereka menemukan 2.863 kunci yang terekspos. Kunci-kunci tersebut awalnya dibuat sebagai penanda proyek untuk layanan seperti Maps atau Firebase, dan memang didesain untuk ditanamkan secara terbuka di dalam kode situs.
Masalah muncul ketika fungsi kunci tersebut berubah. Setelah integrasi Gemini, kunci yang sebelumnya hanya berperan sebagai pengenal proyek ternyata juga bisa berfungsi sebagai alat autentikasi ke layanan AI. Dengan satu kunci yang valid, pihak luar dapat mengakses file yang diunggah, data cache, hingga membebankan biaya penggunaan model bahasa ke akun pemiliknya.
Format kunci Google Cloud yang diawali dengan string tertentu membuatnya relatif mudah dikenali melalui proses pemindaian otomatis. Sementara dokumentasi lama Google untuk Maps dan Firebase secara eksplisit menyebutkan bahwa kunci API bukanlah rahasia, sehingga banyak pengembang menempatkannya langsung di dalam kode HTML situs web mereka.
Truffle Security melaporkan temuan ini kepada Google sejak akhir 2025. Awalnya laporan tersebut dikategorikan sebagai perilaku yang memang dirancang demikian. Namun setelah diberikan contoh dari infrastruktur Google sendiri, laporan itu direklasifikasi sebagai bug dan tingkat keparahannya ditingkatkan. Hingga awal Februari 2026, perbaikan menyeluruh atas akar masalahnya masih dalam proses.
Google menyatakan telah bekerja sama dengan peneliti untuk menangani isu ini serta menerapkan langkah proaktif guna mendeteksi dan memblokir kunci API yang bocor ketika mencoba mengakses Gemini. Meski demikian, belum ada kepastian apakah perusahaan rintisan yang terkena tagihan puluhan ribu dolar itu akan dibebaskan dari kewajiban membayar.
Persoalan ini penting karena menunjukkan bagaimana penambahan fitur AI pada layanan lama dapat memperluas risiko keamanan tanpa disadari. Banyak organisasi memanfaatkan layanan cloud dan API publik untuk mempercepat pengembangan produk. Jika kredensial lama tiba-tiba memperoleh hak akses baru yang sensitif, potensi penyalahgunaan dan kerugian finansial meningkat tajam.
Dampaknya tidak hanya pada perusahaan teknologi besar, tetapi juga usaha kecil dan pengembang independen yang mengandalkan platform cloud untuk bertahan. Kebocoran satu kunci sederhana dapat berubah menjadi krisis keuangan dalam hitungan jam. Situasi ini menjadi pengingat bahwa pengelolaan kredensial, pemantauan penggunaan, dan pembatasan akses kini menjadi aspek krusial dalam era integrasi AI yang semakin luas.