2025年泄露2900万个密钥:为何AI代理凭证失控
GitGuardian的《密钥蔓延状况报告》显示,2025年在公开GitHub提交中发现了28,649,024个新泄露的密钥,同比增长34%,创下了该报告历史上最大的年度增幅。根本原因之一在于身份验证设计:选择哪种凭证类型、携带什么权限范围、;- 有效期多长、以及存储在何处。与此同时,人工智能正在创造更多需要管理的凭证,并生成更多容易泄露这些凭证的产物。GitGuardian发现,2025年由Claude Code协作提交的代码泄露密钥的比例大约是公开GitHub基线率的两倍,这表明身份验证治理无法跟上人工智能的发展速度。当代码生产速度加快时,密钥创建速度也随之加快,问题不在于某个助手特别粗心。开发人员在项目初期就进行集成、测试API调用,并在有人询问凭证应该存放在哪里、归谁所有、如何轮换之前就提交了可工作的原型。人工智能生成的代码往往看起来已经可以投入生产,但实际上并非如此,其中的差距被硬编码的API密钥所填补。集成速度可能增加10倍,但凭证治理无法以同样的速度扩展。报告显示,2025年暴露了超过120万个人工智能服务密钥,同比增长81%。多提供商集成成倍增加了凭证的暴露面。依赖人工开发者自律的身份验证模型无法适应人工智能的速度。
