- GitGuardian сообщила, что в 2025 году в публичных коммитах на GitHub нашли 28,65 млн секретов — на 34% больше, чем годом ранее.
- Утечки, связанные с ИИ-сервисами, выросли на 81% и достигли 1,27 млн, включая 113 000 API-ключей DeepSeek.
- Во внутренних репозиториях секреты встречаются в шесть раз чаще, а 64% секретов, найденных ещё в 2022 году, всё ещё остаются активными.
GitGuardian выпустила ежегодный отчет State of Secrets Sprawl и сообщила, что за 2025 год в публичных репозиториях GitHub обнаружили 28,65 млн захардкоженных секретов — API-ключей, токенов, паролей и других учетных данных, оставленных прямо в коде. Это рекордный показатель за все время наблюдений и рост на 34% по сравнению с предыдущим годом.
Самый заметный вклад в рост дали инструменты, связанные с искусственным интеллектом. По данным отчета, число таких утечек увеличилось на 81% и достигло 1,27 млн. Среди них отдельно выделены 113 000 ключей DeepSeek, найденных на GitHub. Восемь из десяти самых быстрорастущих категорий утечек относятся к ИИ-инструментам. Причем вспомогательная инфраструктура — оркестраторы, RAG-цепочки для работы с внешними данными и векторные базы, где хранятся представления документов для поиска, — оказалась уязвимее самих поставщиков моделей.
Отдельно авторы отчета обратили внимание на конфигурационные файлы MCP, которые используют для подключения моделей к внешним инструментам и данным. В таких файлах нашли 24 000 секретов, и более 2 100 из них оставались действующими. GitGuardian связывает это в том числе с популярными инструкциями, где разработчикам советуют вставлять ключи прямо в конфиг.
В отчете есть и данные по ИИ-ассистентам для программирования. В коммитах с участием Claude Code доля утечек составила 3,2% против базового уровня 1,5% по всему GitHub. Авторы подчеркивают, что речь не о прямой ошибке самого инструмента: решение о публикации кода принимает человек. Но ускорение разработки с помощью ИИ, как показывает статистика, одновременно ускоряет и распространение ошибок.
При этом открытые репозитории — только видимая часть проблемы. Во внутренних хранилищах кода секреты встречаются в шесть раз чаще, а 28% инцидентов происходят вообще вне кода — например, в Slack, Jira и Confluence. Еще один показатель из отчета: 64% секретов, найденных в 2022 году, до сих пор остаются активными, то есть могут использоваться злоумышленниками.
GitGuardian публикует отчет State of Secrets Sprawl пятый год подряд. Новый выпуск показывает, что рост числа утечек идет одновременно с расширением использования ИИ-инструментов и увеличением числа публичных коммитов на GitHub.
Разработчикам и компаниям нужно проверять не только исходный код, но и конфигурационные файлы, внутренние репозитории и рабочие сервисы вроде Slack и Jira. Одного поиска секретов в публичных проектах уже недостаточно, если ключи не отзываются и продолжают работать годами.
