文章总结： 安全工程师Marshall扫描560万个GitLab公共仓库，发现超1.7万条有效敏感密钥，涉及谷歌云、OpenAI等服务。研究指出开源平台密钥泄露严重，建议企业加强凭证管理，避免硬编码敏感信息，并实施自动化安全扫描以防止数据泄露。 综合评分： 75 文章分类： 威胁情报,数据泄露,安全意识

GitLab公共仓库惊现超1.7万条敏感密钥！谷歌云、OpenAI凭证在列

原创

甲子元 甲子元

安全代码

2026年2月5日 07:29 山西

近日，安全工程师Luke Marshall通过Truffle Security发布了一项引人关注的安全研究报告。在对GitLab Cloud上约560万个公共仓库进行大规模扫描后，共发现17,430条有效密钥，涉及2,804个独立域名，其中不乏Google Cloud Platform（GCP）、OpenAI、MongoDB等重要服务的敏感凭据。

研究详情：24小时扫出数万条“活”密钥

Marshall利用GitLab公共API，结合自研Python脚本，在约24小时内完成了对全部公共仓库的自动枚举与扫描。本次云端扫描总成本仅约770美元，却揭示出触目惊心的密钥暴露现状。所发现的17,430条密钥均经验证仍可正常使用，其数量约为此前对Bitbucket扫描结果的三倍，密钥密度也高出35%。

暴露分布：GCP密钥最常见，AI与通信类紧随其后

统计显示，GCP凭证是暴露最普遍的类别，平均每1060个仓库中即存在一组有效密钥，总数超过5,200条。此外，MongoDB数据库密钥、Telegram机器人令牌及OpenAI API密钥也大量被发现，这些凭据一旦遭恶意利用，可能导致严重的数据泄露、服务入侵或资源盗用。

行业背景：开源平台成密钥泄露重灾区

作为三大主流Git托管服务之一，GitLab因其公开仓库数量庞大，加之Git历史记录永久保留的特性，成为密钥误提交的高发地。Marshall长期关注开源生态中的此类安全隐患，此前已在Bitbucket、NPM、PyPI等多处发现类似问题。

安全警示：企业应强化凭证管理与代码审计

该报告再次为开发团队与企业敲响警钟：必须建立严格的密钥管理策略，避免在代码中硬编码敏感信息，并应在代码提交与合并前实施自动化安全扫描，防止凭证随源码流入公共视野，从源头筑牢安全防线。

来源：IT之家

山西甲子元科技有限公司

产品介绍：

软件：防泄密、行为管理、行为审计、云文档安全管理、数据智能备份等安全管理系统。

电话：0351-3366668

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全代码 甲子元 甲子元《GitLab公共仓库惊现超1.7万条敏感密钥！谷歌云、OpenAI凭证在列》