Firebase ブラウザキーの設定ミスで13時間に€54kの請求が発生

記事

• 制限のない Firebase ブラウザ API キーにより、13時間で€54kの請求が発生しました。
• 予算アラートは数時間遅れて発火し、チームが気づいた時点ですでに€28kに達していました。
• Firebase のブラウザキーは設計上シークレットではありませんが、Gemini API はそれをフル認証情報として扱います。
• Google のコスト集計に遅延があるため、リアルタイムの支出上限を設定することができません。

ディスカッション

• コンセンサス：Google にハードな支出上限がないのは、意図的なプロダクト判断であり、見落としではない。
• 対策：Cloud Console で API キーを特定の API とリファラーに制限する（デフォルトでは無効）。
• 同じパターンで$26k・$6.9k の被害を受けたコメントが複数寄せられている。
• HN（Hacker News、テック系掲示板）が Google サポートへの最速ルートというのは、2026年においても恥ずかしい現状です。

HN でディスカッションを見る

原文（英語）: €54k spike in 13h from unrestricted Firebase browser key accessing Gemini APIs