问题背景 #

• 近期在项目中接入了Gemini服务，2026年4月11日项目因疑似账户劫持行为被Google Cloud暂停，排查后未发现服务器密钥泄露情况
• 核查Google Cloud计费控制台时，发现存在本项目从未调用过的Gemini API模型请求，推测是未授权用户通过Firebase公开配置信息发起的非法调用

风险分析 #

• 使用Gemini Web SDK的核心风险：无需私有密钥，仅通过Firebase公开配置即可直接调用Gemini模型
• 当前唯一可行的防范手段是为AI逻辑启用App Check
• 个人观点：Google Cloud应强制要求使用Gemini Web SDK的AI逻辑启用App Check，避免此类问题影响所有接入Gemini API的项目

已采取的措施 #

• 已为项目中的AI逻辑启用App Check
• 已向Google Cloud提交项目解封申诉，但即使拥有付费支持服务，项目被封至今已4天仍未恢复
• 后续规划：后悔此前仅依赖Firebase，建议项目核心组件采用可替换方案（如Supabase、替代认证服务等）

求助 #

• 是否有开发者遇到过类似的项目被封情况？
• 针对当前项目解封及后续防范，有哪些可行的解决办法？

内容的提问来源于stack exchange，提问作者Zaahid