Zurück zur Startseite

GitHub Secrets Leak 2025: 28 Millionen KI-Schlüssel

GitGuardian 2025 Bericht verzeichnet 28,65 Millionen Secrets-Leaks in GitHub, KI-Dienste dominieren (+81 %). Model-Infrastrukturen und MCP-Konfigs sind besonders anfällig. Entwicklern wird empfohlen, Hardcoding-Praktiken zu prüfen.

28 Millionen Secrets in GitHub geleakt: Fokus auf KI-Risiken
Advertisement 728x90

Leak von 28,65 Millionen Secrets auf GitHub: KI beschleunigt Risiken für Entwickler

Im Jahr 2025 haben öffentliche GitHub-Repositories einen Rekord von 28,65 Millionen hardcodierten Secrets angesammelt – API-Schlüssel, Tokens und Passwörter. Das Wachstum um 34 % im Vergleich zum Vorjahr hängt mit dem Boom der KI-Dienste zusammen: Lecks ihrer Credentials sind um 81 % auf 1,27 Millionen Fälle gestiegen. Die Infrastruktur um Modelle herum ist besonders anfällig – Orchestratoren, RAG-Pipelines und Vector Stores.

Explosives Wachstum der Lecks in der KI-Infrastruktur

KI ist der Hauptfaktor geworden: 8 von 10 am schnellsten wachsenden Kategorien von Secrets stammen von KI-Tools. 113.000 DeepSeek-API-Schlüssel wurden erkannt. Die KI-Infrastruktur leakt 5-mal schneller als die Model-Anbieter selbst. MCP-Konfigurationsdateien enthalten 24.000 Secrets, von denen 2.100 aktiv sind. Der Grund sind beliebte Anleitungen zum Einrichten von MCP-Servern, in denen Schlüssel direkt in die Config eingefügt werden.

Entwickler, die KI-Assistenten wie Claude Code nutzen, leaken Secrets in 3,2 % der Commits – doppelt so hoch wie der GitHub-Durchschnitt (1,5 %). Das Tool ist nicht schuld: Es beschleunigt die Code-Generierung, aber Fehler hängen vom Nutzer ab, der Warnungen ignoriert.

Google AdInline article slot

GitHub ist nur die Spitze des Eisbergs

Öffentliche Repositories zeigen nur einen Teil des Problems. Interne Repositories enthalten 6-mal häufiger Secrets. 28 % der Vorfälle liegen außerhalb des Codes: in Slack, Jira, Confluence. Langfristiges Risiko: 64 % der Secrets aus 2022 sind nach 4 Jahren noch aktiv.

| Kennzahl | 2024 | 2025 | Wachstum |

|--------------|--------|---------|----------|

Google AdInline article slot

| Alle Secrets | 21,4 Mio. | 28,65 Mio. | +34 % |

| KI-Secrets | 0,7 Mio. | 1,27 Mio. | +81 % |

| DeepSeek-Schlüssel | - | 113.000 | Neu |

Google AdInline article slot

| MCP-Secrets | - | 24.000 | Neu |

Warum KI das Problem verschärft

KI hat Lecks nicht erfunden, aber Prozesse beschleunigt: mehr Code (+43 % Commits), Integrationen, Service Accounts und Konfigurationsoberflächen. Die Entwicklerbasis ist um 33 % gewachsen, daher reichen einfache Scanner-Verbesserungen nicht aus.

  • Erhöhte Entwicklungsgeschwindigkeit führt zu mehr Fehlern.
  • KI-Infrastruktur (RAG, Vector-DBs) erfordert viele Schlüssel.
  • Einrichtungsanleitungen fördern Hardcoding.
  • Langfristige Secrets werden nicht rechtzeitig widerrufen.

Automatisierte Tools wie GitGuardian erkennen den Trend, aber systemische Änderungen in CI/CD und Repository-Richtlinien sind erforderlich.

Wichtigste Erkenntnisse

  • Rekord von 28,65 Millionen Secrets in öffentlichen GitHub-Repositories im Jahr 2025, +34 % im Vergleich zum Vorjahr.
  • KI-Secrets gewachsen um 81 % auf 1,27 Millionen, einschließlich 113.000 DeepSeek-Schlüsseln.
  • Model-Infrastruktur leakt 5-mal schneller als Anbieter; 64 % alter Secrets bleiben aktiv.
  • KI-Assistenten verdoppeln das Leak-Risiko auf 3,2 % der Commits.
  • 28 % der Vorfälle außerhalb des Codes, interne Repositories 6-mal schlimmer als öffentliche.

— Editorial Team

Advertisement 728x90

Weiterlesen