39 Millionen Zugangsdaten in einem Jahr geleakt
Der GitHub Octoverse-Bericht 2024 dokumentierte 39 Millionen geleakte Secrets auf GitHub im Jahr 2024. Das ist ein Anstieg von 25 % gegenüber dem Vorjahr 2023. Die Secrets umfassen API-Schlüssel, Datenbank-Strings, Auth-Tokens und Cloud-Zugangsdaten.
Die Ursache ist bekannt. Entwickler committen Code mit enthaltenen Secrets. Die Secrets stammen aus Debug-Sessions. Oder sie sind hartcodiert statt in Umgebungsvariablen gespeichert. Bei 39 Millionen Leaks ist das kein Einzelfall. Es ist Routine.
KI-Tools schaffen einen zweiten Leak-Kanal
GitGuardians Forschung von 2025 ergab: 67 % der Entwickler haben versehentlich Secrets in Code exponiert. Die gleichen Gewohnheiten, die GitHub-Leaks erzeugen, erzeugen auch KI-Tool-Leaks.
Ein Entwickler fügt Code in Claude, ChatGPT oder ein anderes KI-Tool ein, um Hilfe zu bekommen. Dieser Code enthält oft Live-Zugangsdaten. Das KI-Modell empfängt das Secret. Es speichert es möglicherweise im Gesprächsverlauf. Es sendet es an die Server des Anbieters. Der Entwickler verliert die Kontrolle — ohne Warnung.
Drei Beispiele:
Datenbank-Debugging. Ein Entwickler fügt einen Stack-Trace ein. Der Trace enthält den Connection-String. Das KI-Modell liest auch das Passwort.
Pipeline-Review. Ein Entwickler teilt ein Datenpipeline-Skript. Das Skript enthält einen AWS-Access-Key und Secret-Key. Das KI-Modell empfängt beides.
API-Integrations-Review. Ein Entwickler bittet um Feedback zu einer Integration. Der Code enthält einen Live-Partner-API-Key. Der Schlüssel verlässt das Netzwerk des Entwicklers.
In jedem Fall ist das Ziel legitime Hilfe. Der Credential-Leak ist ein Nebeneffekt davon, dem KI-Modell genug Kontext zu geben. Das ist dasselbe Muster wie bei GitHub-Leaks — kein böswilliger Akt, nur Routine.
CI/CD-Pipelines sind ebenfalls betroffen
CI/CD-Pipeline-Secret-Leaks stiegen 2024 um 34 %. Build-Skripte, Deployment-Configs und Infrastructure-as-Code-Dateien werden jetzt alle per KI-Review geprüft. Diese Dateien enthalten oft Cloud-Zugangsdaten und Service-Account-Tokens.
Wenn KI-Tools mehr des Entwicklungszyklus abdecken — Review, Docs, Debugging, Optimierung — wächst die Angriffsfläche mit.
MCP-Architektur blockiert Leaks
Für Teams, die Claude Desktop oder Cursor IDE nutzen, stellt die Model Context Protocol (MCP)-Server-Architektur einen Credential-Filter zwischen Entwickler und KI-Modell.
Der MCP-Server verarbeitet jeden Text, der durch die Session fließt. Eingefügter Code, Stack-Traces, Config-Dateien, Debug-Kontext — alles durchläuft einen Anonymisierungsschritt, bevor das Modell es sieht.
Die Engine erkennt Credential-Muster: API-Key-Formate, Datenbank-Strings, OAuth-Tokens, Private-Key-Header und benutzerdefinierte Formate, die Ihr Sicherheitsteam definiert. Jede Übereinstimmung wird vor der Übertragung durch ein Token ersetzt.
Beispiel aus der Praxis:
Ein Entwickler fügt einen Stack-Trace mit einem Datenbank-Connection-String ein. Der MCP-Server ersetzt den String durch [DB_CONNECTION_1]. Das KI-Modell sieht den Trace mit dem Token. Es gibt Debug-Hilfe auf Basis der anonymisierten Version. Die echten Zugangsdaten haben das interne Netzwerk nie verlassen.
Das stoppt denselben Leak-Vektor, der GitHub mit Secrets füllt. Der Kanal ist anders — KI-Tools statt Git-Commits — aber die Lösung funktioniert gleich: blockieren, bevor es übertragen wird.
Unsere Sicherheitsübersicht zeigt, wie anonym.legal das für KI-Tools und Dokument-Workflows umsetzt. Im Compliance-Center finden Sie Audit-Controls.
Erkennung im Nachhinein ist zu spät
Manche Teams nutzen Post-Commit-Scanning, um geleakte Secrets zu finden. GitGuardian und truffleHog funktionieren gut für den GitHub-Kanal. Sie decken KI-Tool-Sessions nicht ab.
Wenn ein Secret die Server eines KI-Anbieters erreicht, ist die Exposition bereits erfolgt. Scanning findet es danach. MCP-Layer-Anonymisierung verhindert, dass es das Modell überhaupt erreicht.
Die 39 Millionen GitHub-Leaks dokumentieren einen Kanal. KI-Tool-Exposition ist dasselbe Problem in einem Kanal mit weniger Überwachung und keinem Audit-Trail. Prävention vor der Übertragung deckt beides ab.