anonym.legal
Vissza a BlograAI Biztonság

39 millió GitHub-titkoszivárgás 2024-ben...

A fejlesztők 67%-a véletlenül kitett titkokat a kódban (GitGuardian 2025). 39 millió titkot szivárogtak a GitHubon 2024-ben, 25%-os éves növekedéssel.

March 29, 20268 perc olvasás
GitHub secret leaksdeveloper AI securitycredential exposureMCP Server protectionGitGuardian 2025

A 39 millió titkos szivárgás

A GitGuardian 2025-ös Secret Detection State of Reports szerint:

  • 39 millió titkot fedeztek fel a GitHubon 2024-ben
  • 25%-os növekedés az előző évhez képest
  • A titkok tartalmazzák: API-kulcsok, jelszavak, SSH kulcsok, JWT tokenek, adatbázis-hitelesítő adatok

A kritikus megállapítás: a titkok közel 90%-a aktív maradt az észlelés után – a fejlesztők nem tudnak róluk, vagy nem változtatnak rajtuk.

Hogyan kerülnek a titkok az AI-eszközökbe

A fejlesztői munkafolyamat

Fejlesztő bug-ot hibakeres
         ↓
Másolja a releváns kódrészletet
         ↓
Beilleszti a Claude/ChatGPT-be magyarázatért
         ↓
A kódrészlet tartalmaz:
  - API kulcs: OPENAI_API_KEY=sk-proj-abc123...
  - Adatbázis URL: postgresql://user:pass@host/db
  - JWT secret: JWT_SECRET=supersecret123

A fejlesztő az API hívási lánc hibakeresésére koncentrál. A hitelesítő adatok a szövegkörnyezethez szükségesek. Nem gondol rá, hogy titkokat oszt meg.

A .env probléma

A Cursor és számos más AI-kódoló asszisztens betölti a .env fájlokat az AI-kontextusba alapértelmezés szerint.

Ez azt jelenti:

  • Az összes környezeti változó elérhető az AI számára
  • A fejlesztő nem jeleníti meg kifejezetten a titkokat
  • Az AI „látja" a titkokat a kódsugalmazáshoz

A pénzügyi szolgáltatás 12 millió dolláros esete

Egy pénzügyi szolgáltató elveszített 12 millió dolláros saját kereskedési algoritmust, amelyet egy fejlesztő küldött egy AI asszisztensnek hibakereséshez.

Az AI-asszisztens – egy kereskedelmi SaaS-eszköz – nem rendelkezett üzlettel az adat értékesítésére. De az adatátvitel egy harmadik félnek megtörtént.

Jogi kérdések: Ki tulajdonosa az AI-beviteli adatoknak? Alkalmazható-e a kereskedelmi titok védelme?

Az anonym.legal fejlesztő megoldása

MCP-kiszolgáló integráció

Az anonym.legal MCP-kiszolgálója elfogja a titkokat az AI-hoz való jutás előtt:

# Ami a fejlesztő beilleszti:
client = openai.Client(api_key="sk-proj-abc123real...")

# Amit az AI lát:
client = openai.Client(api_key="[API_KEY_1]")

Automatikus titkos felismerés

Az MCP-kiszolgáló felismeri:

  • OpenAI, Anthropic, Google, AWS, GitHub API-kulcsok
  • JWT tokenek (automatikus prefix-minta alapján)
  • Adatbázis kapcsolati karakterláncok jelszavakkal
  • SSH kulcsok
  • Generic magas-entrópia stringek, amelyek titkoknak tűnnek

Következtetés

A 39 millió GitHub titokszivárgás nem a gondatlanság eredménye – az AI-fejlesztői munkafolyamatok strukturális problémájának.

Az MCP-kiszolgáló ezt megoldja azzal, hogy a titkok soha nem jutnak el az AI-modellig.

Kapcsolódó Cikkek

AI Biztonság

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Biztonság

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Biztonság

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése