文章总结： 2025年AI加速软件开发导致GitHub机密泄露达2900万次，创历史峰值。AI辅助编码使秘密泄露率超基准2倍，非人类身份(NHI)治理缺失成关键风险。报告指出需将NHI视为一级资产，加强自动化治理与缓解措施，涵盖代码和非代码环境以应对新兴威胁。 综合评分： 75 文章分类： 数据安全,AI安全,安全运营,供应链安全,安全建设

GitHub一年泄露2900万机密—因为AI

数世咨询

2026年4月1日 16:00 河北

本文关键看点：

#01

2025年，人工智能的采用彻底改变了软件开发，GitHub总计检测到约2900万泄密，创下有史以来单年最大增幅；

#02

人工智能辅助加快了软件开发速度，使得嵌入现代技术栈中的令牌、密钥和服务身份数量倍增，但治理方面却没有相应的改进；

#03

下一代安全项目必须将非人类身份(NHI)视为一级资产，配备专门的治理、上下文和缓解自动化，涵盖代码和非代码环境。

▍以下正文内容由AI工具生成，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

2025年，开发者使用Claude Code的秘密泄露率为3.2%，高于1.5%的基准。人因因素依然至关重要。

GitGuardian，GitHub上安装量最大的安全应用背后的领导者，今天发布了第五版“秘密扩散状态”报告，记录了2025年主流人工智能的采用如何重塑软件交付，并加速了非人身份（NHI）及其秘密在公共和内部系统中的曝光。

尽管软件生态系统快速增长，泄露的秘密增长速度更快，而补救措施未能跟上。

01

软件改变的年份

在2025年，人工智能的采用永久性地改变了软件工程：

• 公共提交同比增长43%，增长速度至少是之前的2倍
• 自2021年以来，秘密的增长速度大约是活跃开发者人口的1.6倍
• 在AI辅助的代码中，秘密泄露率平均约为GitHub整体基准的两倍。

这些因素共同推动了GitHub上新泄露秘密同比增长34%，总计检测到约2900万个秘密，创下有史以来最大的单年增长幅度。

02

CISO保护非人身份（NHI）的九个要点

暴露的凭证仍然是一个主要且重复的被攻破路径。在2025年，AI的辅助提高了软件创建的速度，并使现代技术栈中嵌入的令牌、密钥和服务身份数量倍增，而治理方面的改善却没有相应增加。

03

AI助手在新类别凭证中放大风险

Claude Code辅助的提交泄露秘密的比例约为3.2%，是基准的2倍。AI辅助编码使软件开发民主化，使没有正式培训的开发者能够快速构建应用程序。然而，这种可及性伴随着安全漏洞：经验较少的开发者可能缺乏安全意识，忽视AI的警告，或明确提示工具包含敏感信息。这些泄露的秘密最终可能反映人类的错误，而不仅仅是AI的失败。

与AI服务相关的凭证泄露是增长最快的：与AI服务相关的泄露同比增长81%（达到1,275,105），并且更有可能绕过主要为传统开发工作流程构建的保护措施。

MCP配置风险正在显现：MCP服务器文档通常建议将凭证直接放入配置文件，而不是使用更安全的客户端身份验证模式。这导致在研究的MCP配置文件中暴露了24,008个独特的秘密。

04

AI瞬间扩展攻击面

内部仓库仍然是最大的暴露储存库。它们被硬编码秘密的可能性是公共仓库的约6倍。

秘密扩散超越代码：约28%的事件源于协作和生产力工具中的泄露（不仅仅是仓库），在这些工具中，凭证可能暴露给更广泛的受众、自动化和AI代理。

开发者机器正成为凭证边界的一部分。随着AI代理获得更深层的本地访问权限（编辑器、终端、文件、凭证存储），提示注入和供应链式攻击（例如Shai-Hulud）可能将本地秘密转化为组织风险。

“AI代理需要本地凭证以连接跨系统，使开发者的笔记本电脑成为一个巨大的攻击面。我们构建了我们的本地扫描和身份清单工具来保护它们。安全团队需要明确映射出哪些机器持有哪些秘密，揭示出诸如过度特权访问和暴露的生产密钥等关键弱点。” GitGuardian首席执行官Eric Fourrier说。

05

行业面临日益增长的债务，需要NHI治理，而不仅仅是检测

长期存在的秘密仍然占主导地位：约60%的政策违规是持续存在的凭证，突显出向短暂、最小特权访问转变的缓慢。

优先级排序比看起来更困难：约46%的关键秘密没有供应商提供的验证机制，需依赖上下文信号（位置、使用情况、下游消费者和秘密管理者）来评估现实世界的可利用性。

补救措施在规模上失败：2022年的64%有效秘密在2026年仍未被撤销，最常见的原因是安全团队缺乏实现任何泄露秘密可行、可重复补救路径所需的治理。

* 本文为泽钧编译，原文地址：https://hackread.com/gitguardian-reports-an-81-surge-of-ai-service-leaks-as-29m-secrets-hit-public-github/ 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询 《GitHub一年泄露2900万机密—因为AI》