การค้นพบ: ความลับรั่วไหลจำนวนมากในเทมเพลต AI

รายงาน Snyk Open Source Security 2025 วิเคราะห์ 3.4 ล้าน repositories บน GitHub และ Hugging Face

ผลลัพธ์:

39,000,000 secrets พบ (API keys, tokens, passwords)
72% มาจากการรวม AI libraries
51% มีการเข้าถึงระดับสูง (AWS, GitHub, OpenAI)

ประเภท Secrets ที่พบ

ประเภท	ตัวอย่าง	พบได้
OpenAI API Keys	sk-proj-...	8.2M
GitHub Personal Access Tokens	ghp_...	5.1M
AWS Access Keys	AKIA...	4.8M
Hugging Face API Tokens	hf_...	3.2M
Database URLs	postgres://...	2.9M
MongoDB connection strings	mongodb+srv://...	2.1M
Private SSH Keys	-----BEGIN RSA PRIVATE KEY-----	1.8M
Slack Webhooks	https://hooks.slack.com/...	1.5M

เหตุใด Secrets ถูกรั่วไหล

1. AI Notebooks

# ❌ Common mistake:
import openai
openai.api_key = "sk-proj-..."  # Hardcoded!
response = openai.ChatCompletion.create(...)

# Commit → GitHub → Public

2. Demo Code

// ❌ AWS Example
const aws = require('aws-sdk');
const credentials = {
  accessKeyId: "AKIA...",        // Hardcoded
  secretAccessKey: "wJ..."
};
const s3 = new aws.S3(credentials);