39 Milyon Kimlik Bilgisi Sorunu
GitHub'ın Octoverse 2024 raporu, yıl boyunca GitHub'da 39 milyon gizli bilginin sızdığını belgeledi — bu, 2023'e göre yıllık %25 artış demek. Bu gizli bilgiler API anahtarları, veritabanı bağlantı dizeleri, kimlik doğrulama jetonları, özel sertifikalar ve bulut sağlayıcı kimlik bilgilerini içeriyor.
Bu sızıntıların kaynağı iyi belgelenmiş: geliştiriciler, ya yanlışlıkla (bir commit içinde hata ayıklama yapılandırması bırakmak) ya da yetersiz gizli yönetimi nedeniyle (ortam değişkenleri yerine kodda sabit kimlik bilgileri kullanmak) gizli bilgileri içeren kodu taahhüt ediyor. 39 milyon sayısı, hem GitHub'ın bir geliştirme platformu olarak büyümesini hem de ölçekli güvensiz geliştirme uygulamalarının devamlılığını yansıtıyor.
Octoverse verilerinin tam olarak yakalayamadığı bir diğer ilgili ve büyüyen sızıntı vektörü ise: AI kodlama asistanı etkileşimleri. Geliştiriciler, hata ayıklama, inceleme veya optimizasyon yardımı için Claude, ChatGPT veya diğer AI kodlama araçlarına kod yapıştırdıklarında, yapıştırdıkları kod genellikle GitHub gizli sızıntılarında bulunan aynı kimlik bilgilerini içeriyor — veritabanı bağlantı dizeleri, API anahtarları, dahili hizmet URL'leri ve kimlik doğrulama jetonları.
Geliştirici AI Kullanımının Kimlik Bilgisi İfşası Yaratması
2025'teki GitGuardian araştırması, geliştiricilerin %67'sinin kodda gizli bilgileri yanlışlıkla ifşa ettiğini buldu. GitHub gizli sızıntılarına neden olan davranış kalıpları, AI araçlarının kimlik bilgisi ifşasına neden olan aynı davranış kalıplarıdır — ancak AI araçları vektörü daha az görünür ve sonradan tespit edilmesi daha zordur.
Bir geliştirici, üretim bağlantı sorununu hata ayıklarken hata mesajında kullanılan veritabanı bağlantı dizisini içeren bir yığın izini yapıştırır. AI modeli, bağlantı dizisini işler, muhtemelen bunu konuşma geçmişine kaydeder ve AI sağlayıcısının sunucularına iletir. Kimlik bilgisi artık geliştiricinin kontrolü dışındadır.
Bir geliştirici, bir veri hattını optimize etmek için yardım isterken, kimlik doğrulama için kullanılan S3 kova adı, AWS erişim anahtarı ve gizli anahtarı içeren boru hattı kodunu yapıştırır. AI modeli, bu kimlik bilgilerini meşru bir kodlama yardımı parçası olarak alır.
Bir geliştirici, kod incelemesi talep ederken, ortak API anahtarını içeren bir API entegrasyon uygulamasını yapıştırır. İnceleme talebi, canlı üretim kimlik bilgisi içerir.
Her durumda, geliştiricinin niyeti meşrudur — teknik bir sorunla ilgili yardım istemektedirler. Kimlik bilgisi ifşası, hata ayıklama bağlamını dahil etmenin tesadüfi bir sonucudur. Bu kalıp, gizli bilgilerin GitHub'a nasıl girdiğini tam olarak yansıtır: kötü niyetli bir ifşa değil, tesadüfi bir dahil etme.
CI/CD Pipeline Sızıntı Eğilimi
Geliştirici PII ve gizli sızıntılar CI/CD pipeline'larında 2024'te %34 arttı, izleme verilerine göre. Kaynak benzer: derleme betikleri, dağıtım yapılandırmaları ve kod olarak altyapı dosyaları giderek daha fazla AI araçlarıyla gözden geçiriliyor. Bu dosyalar rutin olarak ortam değişkeni referansları, bulut sağlayıcı kimlik bilgileri ve hizmet hesabı jetonları içeriyor.
Geliştirme iş akışlarında AI araçlarının benimsenmesi arttıkça — geliştiriciler, tam geliştirme yaşam döngüsü boyunca kod incelemesi, dokümantasyon, hata ayıklama ve optimizasyon için AI kullanıyor — tesadüfi kimlik bilgisi ifşası için yüzey alanı orantılı olarak artıyor.
MCP Mimari Çözümü
Claude Desktop veya Cursor IDE'yi birincil AI kodlama araçları olarak kullanan geliştirme ekipleri için Model Context Protocol (MCP) mimarisi, şeffaf bir kimlik bilgisi yakalama katmanı sağlar.
MCP Sunucusu, geliştiricinin AI istemcisi ile AI model API'si arasında yer alır. MCP protokolü aracılığıyla iletilen tüm metin — yapıştırılan kod, yığın izleri, yapılandırma dosyaları ve hata ayıklama bağlamı dahil — AI modeline ulaşmadan önce bir anonimleştirme motorundan geçer.
Anonimleştirme motoru, kimlik bilgisi benzeri kalıpları tespit eder: API anahtar formatları, veritabanı bağlantı dizisi yapıları, OAuth jeton formatları, özel anahtar başlıkları ve güvenlik ekibi tarafından yapılandırılan özel mülkiyet kimlik bilgisi formatları. Bu kalıplar, iletimden önce yapılandırılmış jetonlarla değiştirilir.
Üretim bağlantı sorununu hata ayıklayan geliştirici için: veritabanı bağlantı dizisini içeren yığın izi MCP Sunucusuna ulaşır. Bağlantı dizisi, bir jetonla ([DB_CONNECTION_1]) değiştirilir. AI modeli, kimlik bilgisi değiştirilmiş yığın izini alır. Hata ayıklama yardımı, anonimleştirilmiş versiyon temelinde sağlanır. Geliştirici, teknik sorunu anlamak için yeterli olan aynı jetonu kullanan bir yanıt alır. Gerçek kimlik bilgisi asla kurumsal ağdan çıkmamıştır.
39 milyon GitHub gizli sızıntısı, bilinen bir sızıntı vektöründe yetersiz kontrollerin sonucunu yansıtır. AI kodlama asistanı kimlik bilgisi ifşası, daha az izlenen bir kanalda aynı sızıntı vektörüdür. Her ikisini de ele alan teknik kontrol, iletim öncesi kimlik bilgisi yakalamadır.
Kaynaklar: