Fuga de 28,65 millones de secretos en GitHub: la IA acelera los riesgos para los desarrolladores
En 2025, los repositorios públicos de GitHub acumularon un récord de 28,65 millones de secretos hardcoded: claves API, tokens y contraseñas. El crecimiento del 34 % respecto al año anterior está ligado al auge de los servicios de IA: las fugas de sus credenciales se dispararon un 81 % hasta 1,27 millones de casos. La infraestructura alrededor de los modelos es especialmente vulnerable: orquestadores, pipelines RAG y almacenes vectoriales.
Crecimiento explosivo de las fugas en la infraestructura de IA
La IA se ha convertido en el principal impulsor: 8 de cada 10 categorías de secretos de más rápido crecimiento provienen de herramientas de IA. Se detectaron 113.000 claves API de DeepSeek. La infraestructura de IA está filtrando secretos 5 veces más rápido que los proveedores de modelos en sí. Los archivos de configuración MCP contienen 24.000 secretos, de los cuales 2100 están activos. La razón son las guías populares para configurar servidores MCP, donde las claves se insertan directamente en el archivo de configuración.
Los desarrolladores que usan asistentes de IA como Claude Code filtran secretos en el 3,2 % de los commits, el doble de la media de GitHub (1,5 %). La herramienta no es culpable: acelera la generación de código, pero los errores dependen del usuario que ignora las advertencias.
GitHub es solo la punta del iceberg
Los repositorios públicos muestran solo una parte del problema. Los repositorios internos contienen secretos 6 veces más a menudo. El 28 % de los incidentes están fuera del código: en Slack, Jira, Confluence. Riesgo a largo plazo: el 64 % de los secretos de 2022 siguen activos después de 4 años.
| Métrica | 2024 | 2025 | Crecimiento |
|---------------|--------|---------|-------------|
| Todos los secretos | 21.4M | 28.65M | +34% |
| Secretos de IA | 0.7M | 1.27M | +81% |
| Claves DeepSeek | - | 113,000 | Nuevo |
| Secretos MCP | - | 24,000 | Nuevo |
Por qué la IA agrava el problema
La IA no inventó las fugas, pero aceleró los procesos: más código (+43 % de commits), integraciones, cuentas de servicio y superficies de configuración. La base de desarrolladores creció un 33 %, por lo que las mejoras simples en los escáneres no bastan.
- La mayor velocidad de desarrollo conlleva más errores.
- La infraestructura de IA (RAG, bases de datos vectoriales) requiere muchas claves.
- Las guías de configuración fomentan el hardcoding.
- Los secretos de larga duración no se revocan a tiempo.
Herramientas automatizadas como GitGuardian detectan la tendencia, pero se necesitan cambios sistémicos en CI/CD y políticas de repositorios.
Puntos clave
- Récord de 28,65 millones de secretos en repositorios públicos de GitHub en 2025, +34 % interanual.
- Los secretos de IA crecieron un 81 % hasta 1,27 millones, incluidos 113.000 claves DeepSeek.
- La infraestructura de modelos filtra 5 veces más rápido que los proveedores; el 64 % de los secretos antiguos siguen activos.
- Los asistentes de IA duplican el riesgo de fugas al 3,2 % de los commits.
- El 28 % de los incidentes fuera del código, los repositorios internos 6 veces peores que los públicos.
— Editorial Team
Aún no hay comentarios.