{"id":458066,"date":"2026-04-24T01:17:27","date_gmt":"2026-04-24T01:17:27","guid":{"rendered":"https:\/\/www.europesays.com\/it\/458066\/"},"modified":"2026-04-24T01:17:27","modified_gmt":"2026-04-24T01:17:27","slug":"google-cloud-hacker-aggirano-i-cap-di-spesa-tramite-lia-e-un-utente-si-ritrova-con-18-000-dollari-di-debito","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/it\/458066\/","title":{"rendered":"Google Cloud: hacker aggirano i cap di spesa tramite l’IA e un utente si ritrova con 18.000 dollari di debito"},"content":{"rendered":"

L’esperto di IA Jesse Davies ha ricevuto una fattura di oltre 18.000 USD da Google Cloud nonostante un budget impostato di soli 7 dollari.<\/p>\n

\"IA\"<\/p>\n

Il settore del cloud computing sta affrontando una crisi di fiducia legata alla gestione della sicurezza e dei costi. Il caso di Jesse Davies<\/strong>, fondatore di Agentic Labs, \u00e8 emblematico: l’uomo si \u00e8 svegliato con un debito di 25.672,86 AUD (circa 18.391 USD) accumulato in una sola notte<\/strong>.\n<\/p>\n

Nonostante Davies avesse adottato precauzioni standard come l’autenticazione a due fattori e chiavi API separate per progetto, un unico punto debole ha reso vani tutti i suoi sforzi<\/strong>. L’attaccante non ha rubato direttamente una chiave, ma ha individuato un vecchio servizio Cloud Run pubblicato mesi prima tramite AI Studio.<\/p>\n

I dettagli dell’attacco a Jesse Davies su Google Cloud<\/p>\n

Considerando che la URL era pubblica e l’API key era memorizzata in testo semplice come variabile d’ambiente, l’hacker ha potuto inviare oltre 60.000 richieste<\/strong>. Il sistema proxy di Google ha firmato ogni richiesta per conto dell’attaccante, esaurendo in pochi minuti il budget di 10 dollari australiani<\/strong> e continuando a fatturare cifre astronomiche.<\/p>\n

\t\t
\n Apple avrebbe chiesto a Google di far funzionare la nuova Siri sui suoi server a causa dell’elevato carico di elaborazione<\/p>\n

\"Apple<\/p>\n

<\/a><\/p>\n

L’aspetto pi\u00f9 inquietante della vicenda riguarda i meccanismi di protezione di Google Cloud<\/strong>. Davies ha identificato ben nove funzioni di sicurezza<\/strong> che avrebbero potuto prevenire il disastro, ma che risultano disattivate di default<\/strong>.\n<\/p>\n

Inoltre, Google ha effettuato un upgrade automatico del “Tier” dell’account durante l’attacco: quando la spesa ha superato i 1.000 dollari<\/strong>, il sistema ha alzato il tetto massimo di spesa da 2.000 fino a una cifra compresa tra 20.000 e 100.000 dollari<\/strong>, senza inviare alcuna notifica all’utente<\/p>\n

Il caso Davies non \u00e8 isolato: altri utenti si sono lamentati della sicurezza di Google Cloud<\/p>\n

L’esperienza di Davies non \u00e8 isolata. Su Reddit, altri utenti hanno segnalato casi simili, con fatture arrivate fino a 128.000 dollari<\/strong>. La societ\u00e0 di sicurezza Truffle Security ha avvertito che il formato unico delle chiavi API di Google rappresenta un rischio sistemico: quando le API di Gemini vengono attivate su un progetto esistente, le vecchie chiavi diventano automaticamente credenziali per l’IA<\/strong>, esponendo gli account a costi fuori controllo. <\/p>\n

\nWent to bed with a $10 budget alert. Woke up to $25,672.86 in debt to Google Cloud.<\/a>
by
\nu\/venturaxi<\/a> in
\ngooglecloud<\/a>\n<\/p><\/blockquote>\n

Sebbene nel caso di Davies Google sembri intenzionata a condonare il debito, l’incidente solleva dubbi urgenti sulla responsabilit\u00e0 dei fornitori cloud<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"L’esperto di IA Jesse Davies ha ricevuto una fattura di oltre 18.000 USD da Google Cloud nonostante un…\n","protected":false},"author":3,"featured_media":273422,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[173],"tags":[1537,90,89,195,198,199,197,200,201,194,196],"class_list":{"0":"post-458066","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-scienza-e-tecnologia","8":"tag-it","9":"tag-italia","10":"tag-italy","11":"tag-science","12":"tag-science-and-technology","13":"tag-scienceandtechnology","14":"tag-scienza","15":"tag-scienza-e-tecnologia","16":"tag-scienzaetecnologia","17":"tag-technology","18":"tag-tecnologia"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@it\/116457049819997350","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts\/458066","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/comments?post=458066"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts\/458066\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/media\/273422"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/media?parent=458066"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/categories?post=458066"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/tags?post=458066"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}