"Всегда ставьте хард-лимиты на API. Иначе пойдете по миру с протянутой рукой. На реддите очередной бедолага бьется в истерике. Чувак держит маленькую софтверную контору (их там всего три разраба). Юзали они потихоньку API от Google Gemini, платили свои дежурные 180$ в месяц и горя не знали. Но в один прекрасный день кто-то увел их API-ключ. За двое суток хацкеры успели нагенерить текстов и картинок через Gemini 3 Pro аж на 82 314 бачей. За 48 часов! Чувак в слезах побежал в саппорт Гугла. Мол, ребят, ну очевидно же, что это аномалия, скачок расходов в 455 раз, отмените счет, иначе нам гарантированное банкротство. На что Гугл вежливо поводил ему по губам своей ""Политикой совместной ответственности"". Ваши ключи, это ваши проблемы, надо было секьюрити настраивать. Бедолага сейчас снес все скомпрометированные ключи, подрубил 2FA везде где можно (поздновато, не?), накатал заяву в ФБР о киберпреступлении и отчаянно надеется, что достучится до кого-то в Гугле, кто смилуется и спишет долг (лол). На 100% уверен, что особо злых хацкеров там не было. Просто разработчики по старой доброй традиции захардкодили API-ключ прямо в код, а после выложили этот код на гитхаб. А там уже давно работает целая индустрия: площадку круглосуточно шерстят тысячи ботов парсеров, которые в реальном времени мониторят каждый публичный коммит, прогоняя код через регулярки, заточенные под форматы токенов OpenAI, Google, AWS и прочих гигантов. Вот пример такого скрипта. Еще раз: Всегда ставьте хард-лимиты на API."