没设 API 限额，一个月烧掉 5 亿美元

导语：一位 AI 咨询顾问在社交平台发布推文称，其客户公司的一名员工在使用 Claude API 时完全未设置调用限额，短短一个月下来，账单直接飙至 5 亿美元。这条推文迅速引发科技圈热议——毕竟，这不是” hypothetical 场景”，而是一份真实的天价账单。

一、一条推文掀起的千层浪

事情并不复杂：一家企业接了 AI 咨询服务，顾问在复盘时发现，该公司的工程师为了测试和调试，无限制地给 Claude 发了海量请求，没有任何速率限制、没有月度预算上限、没有告警机制。

于是，API 账单单月就冲到了 5 亿美元。

推文发出后，评论区迅速变成了一个大型”翻车现场”——不少技术人员表示自己也曾踩过类似的坑，只不过规模小得多：一个失控的 AI agent 在后台循环调用，几周之内烧掉几千甚至几万刀的事并不少见。只是这回的”数字”太过震撼，瞬间把”AI 费用失控”从技术圈内部话题炸成了全社会关注的公共议题。

二、为什么这件事值得每个企业关注

5 亿美元这个数字本身就已经足够猎奇，但真正值得深究的，是它背后暴露的系统性漏洞。

大模型 API 的计费方式与传统 SaaS 订阅完全不同。你按”Token 用量”付费，而一次复杂的对话、一个高频的自动化任务、甚至一个存在 bug 的 prompt loop，都可以在短时间内产生天文数字般的调用量。更关键的是，对于绝大多数企业来说，AI 调用是按需付费、实时扣费——没有硬性的上不封顶警告，也没有”本月账单预览”这么个东西。

一旦缺乏治理，一支数百人的技术团队同时使用大模型，结果就是：账单静悄悄地上天，等你看到时已经来不及了。

这也是为什么近年来 “AI Cost Governance”（AI 成本治理）迅速成为企业安全与财务管理的热门话题。不少机构开始推出 AI 费用可观测性平台，对标的就是这种”账单暴雷”场景。

三、国内企业的”AI 跑步热”与隐忧

把目光拉回国内，情况同样令人警醒。

据国家数据局今年披露，我国日均 Token 调用量已突破 140 万亿，相比 2024 年初增长了 1000 多倍。智谱 CEO 张鹏也在业绩说明会上坦言，2026 年一季度 API 调用定价提升 83%，市场依然供不应求，调用量进一步暴涨 400%。

换句话说：国内企业正以惊人的速度全面拥抱 AI，但相应的治理能力能不能跟上，要打一个大大的问号。

大量企业在推进 AI 项目时，关注点集中在”能用、好用”上，对费用管控、权限隔离、用量审计的重视程度严重不足。不少团队直接用主账号密钥接入大模型 API，没有任何子账号、预算限制或告警机制。更不用说不少企业的 AI 支出连财务部门都不知情，直到月末收到账单才惊觉事态严重。

四、紫队的视角：这事两边都得注意

站在紫队的角度，这事儿其实很有代表性。

红队视角：AI 费用的失控本质上也是一种”攻击”——只不过攻击者不是外部黑客，而是内部逻辑漏洞加上缺乏管控。无限调用的权限和 buggy 的代码结合起来，比任何一次精心策划的渗透测试都更能快速把账单打穿。

蓝队视角：防范的关键在于”分层设限”——主账号不直接用于日常调用，每个团队、每个项目有独立的子账号和预算上限，超量触发告警，调用日志全程留痕。这套东西在传统 IT 里不新鲜，但在 AI 时代，大多数企业还没来得及”抄作业”。

五、给国内 IT 管理者的几点建议

如果你或你的公司正准备或已经在大规模使用大模型 API，有几点值得立刻行动：

• 预算上限先设好：不要等账单来了才后悔。每个 API 密钥都应有明确的月度用量上限。
• 权限分级管理：不同团队、不同项目使用不同的密钥，避免一人失控全公司买单。
• 开启用量告警：设置阈值，用量达到预算的 70% 就发告警，别等到月底才收到”惊喜”。
• 定期审计调用日志：谁在调、调了什么、花了多少钱，数据要透明。
• 把 AI 费用纳入财务预算体系：不是”技术项目不花钱”，而是需要像对待传统云账单一样对待 AI 账单。

5 亿美元的账单，摊到每个人头上可能就几块几十块，但放在一起，它足以让任何 CFO 倒吸一口凉气。

这场闹剧最大的教训，其实不是什么惊心动魄的黑客攻击，而是一个再朴素不过的道理：不管你用的是不是 AI，钱还是要管的。 更何况，AI 花的钱，有时候快得连账本都追不上。

版权声明：本文由华盟网原创发布，保留所有权利。配图由华盟网授权使用。

👇 点击阅读原文，访问我的网站