AI

AI-tjänst kapad – fick räkning på 180 000 kr

Av: Sara Nilsson

Publicerad
Skärm med kod till vänster och Euros på bild höger

En till synes liten miss i en AI-tjänst fick oväntade konsekvenser. När allt väl upptäcktes hade kostnaderna redan dragit iväg långt över det planerade. Händelsen väcker frågor om hur säkra dagens molntjänster egentligen är.

En till synes liten miss blev en dyr läxa. En kund hos Google Cloud fick en faktura på över 18 000 dollar efter att en publik API-nyckel lämnats öppen och utnyttjats av en angripare. Trots att användaren satt en budget på sju dollar per dag och ett utgiftstak, räckte det inte för att stoppa attacken. Det rapporterar techsajten Tom’s Hardware.


Även i Sverige ökar användningen av molnbaserade AI-tjänster snabbt, vilket gör att liknande säkerhetsmissar kan få direkta ekonomiska konsekvenser för både startups och etablerade bolag.


Attacken bestod av över 60 000 API-anrop som snabbt drev upp kostnaderna. Angriparen använde nyckeln för att skicka stora mängder förfrågningar till AI-tjänster kopplade till kontot. Resultatet blev att kostnadstaket på 1 400 dollar passerades utan att det stoppade trafiken i tid.

Så kunde det hända

Problemet ligger i hur API-nycklar fungerar. De används för att autentisera tjänster, men om de exponeras offentligt kan vem som helst använda dem. I det här fallet hade nyckeln lagts upp publikt och glömts bort, vilket öppnade dörren för missbruk. Molnleverantörer som Google erbjuder visserligen budgetgränser och varningar, men dessa är inte alltid tillräckliga som säkerhetslager. Kostnader kan fortfarande ticka på innan systemen hinner reagera eller stoppa trafiken helt.
Google själva lyfter vikten av att skydda API-nycklar och begränsa deras användning till specifika IP-adresser eller tjänster.

Vad det betyder för dig

Händelsen visar en växande risk med AI och molntjänster. Det räcker inte att sätta en budget. Säkerheten måste vara aktiv och genomtänkt från början.
För konsumenter och mindre bolag innebär det här tre konkreta lärdomar. För det första ska API-nycklar aldrig exponeras i publik kod. För det andra bör de begränsas med regler för var och hur de får användas. För det tredje behövs aktiv övervakning av trafik och kostnader.


I takt med att AI-tjänster blir billigare att komma igång med, ökar också risken för att kostnader skenar om något går fel. Det här är inte längre ett problem bara för stora företag. Det kan drabba vem som helst som bygger med öppna API:er.
Framåt handlar det mindre om teknik och mer om disciplin. AI-verktyg är kraftfulla, men utan rätt säkerhetsrutiner kan de snabbt bli en oväntad kostnadsfälla.