返回首页

GitHub Secrets 泄露 2025:2800 万 AI 密钥

GitGuardian 2025 报告记录 GitHub 中 2865 万个 Secrets 泄露,AI 服务主导(+81%)。模型基础设施和 MCP 配置特别易受攻击。建议开发者审查硬编码实践。

2800 万 Secrets 泄露至 GitHub:聚焦 AI 风险
Advertisement 728x90

GitHub 泄露 2865 万个秘密:AI 加速开发者风险

2025 年,GitHub 公开仓库累积了创纪录的 2865 万个硬编码秘密——API 密钥、令牌和密码。与前一年相比增长 34%,这与 AI 服务热潮密切相关:相关凭证泄露量激增 81%,达到 127 万起。模型周边基础设施尤其脆弱——编排器、RAG 管道和向量存储。

AI 基础设施泄露呈爆炸式增长

AI 已成为主要驱动力:增长最快的 10 大秘密类别中,有 8 个来自 AI 工具。检测到 113,000 个 DeepSeek API 密钥。AI 基础设施的泄露速度是模型提供商本身的 5 倍。MCP 配置文件包含 24,000 个秘密,其中 2,100 个仍活跃。原因是流行的 MCP 服务器设置指南,直接将密钥插入配置中。

使用 Claude Code 等 AI 助手的开发者,在 3.2% 的提交中泄露秘密——是 GitHub 平均水平(1.5%)的两倍。工具本身并无责任:它加速了代码生成,但错误取决于忽略警告的用户。

Google AdInline article slot

GitHub 只是冰山一角

公开仓库仅显示问题的一部分。内部仓库中秘密出现频率是公开仓库的 6 倍。28% 的泄露事件发生在代码之外:Slack、Jira、Confluence 中。长期风险:2022 年的秘密有 64% 在 4 年后仍活跃。

| 指标 | 2024 | 2025 | 增长 |

|------------|------|------|------|

Google AdInline article slot

| 所有秘密 | 21.4M | 28.65M | +34% |

| AI 秘密 | 0.7M | 1.27M | +81% |

| DeepSeek 密钥 | - | 113,000 | 新增 |

Google AdInline article slot

| MCP 秘密 | - | 24,000 | 新增 |

为什么 AI 加剧了问题

AI 并未发明泄露,但它加速了各种流程:更多代码(提交量 +43%)、集成、服务账户和配置界面。开发者基数增长 33%,因此单纯改进扫描器已不足以应对。

  • 开发速度提升导致更多错误。
  • AI 基础设施(RAG、向量数据库)需要大量密钥。
  • 设置指南鼓励硬编码。
  • 长期有效的秘密未及时吊销。

像 GitGuardian 这样的自动化工具已检测到这一趋势,但需要对 CI/CD 和仓库策略进行系统性变革。

关键要点

  • 2025 年 GitHub 公开仓库创纪录 2865 万个秘密,年同比增长 34%。
  • AI 秘密增长 81% 至 127 万,包括 113,000 个 DeepSeek 密钥。
  • 模型基础设施泄露速度是提供商的 5 倍;64% 旧秘密仍活跃。
  • AI 助手将泄露风险翻倍至提交的 3.2%。
  • 28% 事件发生在代码外,内部仓库比公开仓库严重 6 倍。

— Editorial Team

Advertisement 728x90

继续阅读