GitHub 泄露 2865 万个秘密:AI 加速开发者风险
2025 年,GitHub 公开仓库累积了创纪录的 2865 万个硬编码秘密——API 密钥、令牌和密码。与前一年相比增长 34%,这与 AI 服务热潮密切相关:相关凭证泄露量激增 81%,达到 127 万起。模型周边基础设施尤其脆弱——编排器、RAG 管道和向量存储。
AI 基础设施泄露呈爆炸式增长
AI 已成为主要驱动力:增长最快的 10 大秘密类别中,有 8 个来自 AI 工具。检测到 113,000 个 DeepSeek API 密钥。AI 基础设施的泄露速度是模型提供商本身的 5 倍。MCP 配置文件包含 24,000 个秘密,其中 2,100 个仍活跃。原因是流行的 MCP 服务器设置指南,直接将密钥插入配置中。
使用 Claude Code 等 AI 助手的开发者,在 3.2% 的提交中泄露秘密——是 GitHub 平均水平(1.5%)的两倍。工具本身并无责任:它加速了代码生成,但错误取决于忽略警告的用户。
GitHub 只是冰山一角
公开仓库仅显示问题的一部分。内部仓库中秘密出现频率是公开仓库的 6 倍。28% 的泄露事件发生在代码之外:Slack、Jira、Confluence 中。长期风险:2022 年的秘密有 64% 在 4 年后仍活跃。
| 指标 | 2024 | 2025 | 增长 |
|------------|------|------|------|
| 所有秘密 | 21.4M | 28.65M | +34% |
| AI 秘密 | 0.7M | 1.27M | +81% |
| DeepSeek 密钥 | - | 113,000 | 新增 |
| MCP 秘密 | - | 24,000 | 新增 |
为什么 AI 加剧了问题
AI 并未发明泄露,但它加速了各种流程:更多代码(提交量 +43%)、集成、服务账户和配置界面。开发者基数增长 33%,因此单纯改进扫描器已不足以应对。
- 开发速度提升导致更多错误。
- AI 基础设施(RAG、向量数据库)需要大量密钥。
- 设置指南鼓励硬编码。
- 长期有效的秘密未及时吊销。
像 GitGuardian 这样的自动化工具已检测到这一趋势,但需要对 CI/CD 和仓库策略进行系统性变革。
关键要点
- 2025 年 GitHub 公开仓库创纪录 2865 万个秘密,年同比增长 34%。
- AI 秘密增长 81% 至 127 万,包括 113,000 个 DeepSeek 密钥。
- 模型基础设施泄露速度是提供商的 5 倍;64% 旧秘密仍活跃。
- AI 助手将泄露风险翻倍至提交的 3.2%。
- 28% 事件发生在代码外,内部仓库比公开仓库严重 6 倍。
— Editorial Team
暂无评论。