Das Phänomen, das als "Sekrete sprawl" bekannt ist, geht nicht nur weiter, sondern im Jahr 2025 beschleunigte es mit einer Rate, die viele Sicherheitsteams überraschte. Eine umfangreiche Analyse öffentlicher Repositorien und interner Umgebungen zeigt, dass Millionen von Anmeldeinformationen im Code, in kollaborativen Werkzeugen und in Bildern und Aufzeichnungen belichtet wurden und eine bereits schwer einzudämmende Angriffsfläche erweitert wurde. Die Zahlen sind stark: 2025 wurden allein zehn Millionen neuer Geheimnisse entdeckt, die bestätigt, dass die Punkterkennung nicht mehr ausreicht.
Hinter dieser Explosion ist ein Faktor, der besondere Aufmerksamkeit verdient: die massive Annahme von künstlichen Intelligenz-Tools und modellgestützten Workflows. Code-Assistenten und Schnipsel-Generatoren haben sich sowohl die Art, wie sie Software schreiben, als auch den Ort, an dem sie gespeichert und geteilte Anmeldeinformationen. IA-Integrationen erzeugen neue Maschinen-zu-Maschine-Identitäten und mehrfache Leckagepunkte von APIs Tasten für LLM-Dienste bis hin zu Token für verwaltete Orchester und Backends. Um zu verstehen, warum dies kritisch ist, reicht es aus zu sehen, dass viele der am meisten wachsenden Kategorien von Geheimnissen mit der Infrastruktur von IA und seinen APIs verbunden sind.
Eine weitere Erkenntnis, die die Prioritäten jedes Sicherheitsteams verändern sollte, ist der Standort von hochwertigen Geheimnissen. Während der Medienfokus in der Regel in der öffentlichen GitHub, interne Umgebungen enthalten die meisten der sensiblen Anmeldeinformationen: CI / CD-Token, Cloud-Zugriffsschlüssel, Datenbank-Passwörter und dergleichen. Interne Repositorien zu behandeln, als ob sie "versteckt" wären, ist keine lebensfähige Strategie mehr, weil sie in vielen Fällen genau das Ziel sind, das es ermöglicht, ein Engagement von einem ersten Punkt zu kritischen Ressourcen zu skalieren.
Außerdem sind Lecks nicht auf den Quellcode beschränkt. Ein wesentlicher Teil der Vorfälle stammt aus kollaborativen Tools wie Messaging-Kanäle, Tickets und gemeinsame Dokumentation. Diese Räume werden verwendet, um Vorfälle zu lösen, zum Onboarding oder zum schnellen Austausch von temporären Anmeldeinformationen, und oft erhalten weniger automatisierte Kontrollen als der Code. Wenn die Schlüssel in Slack erscheinen, sind Jira oder Confluence oft kritischer weil ihre Exposition nicht auf die Geschichte der Verpflichtungen beschränkt ist, sondern sich zwischen Ausrüstung und Logos ausbreitet.
Das Vorhandensein von Geheimnissen in der selbstbewohnten Infrastruktur und Containern ist ein weiterer besorgniserregender Vektor. Das Scannen von selbstbesitzten Git-Aufzeichnungen und -Systemen hat tausende von exponierten Anmeldeinformationen gezeigt, wobei ein signifikanter Prozentsatz zum Zeitpunkt der Feststellung noch gültig ist. Insbesondere Dockers Bilder enthalten oft Bauartefakte und Umgebungsvariablen, die dauerhafte Kopien von Schlüsseln und Token darstellen. Wenn Anmeldeinformationen in Bildern reisen oder Artefakte bauen, ist ihre Rotation kompliziert und ihr Aufprallpotenzial wird multipliziert.
Eine Sache, die alle Alarme klingen sollte, ist die Haltbarkeit der gefilterten Geheimnisse: viele Anmeldeinformationen, die vor gültigen Jahren bestätigt werden, bleiben heute ausnutzbar. Dies deutet darauf hin, dass die Widerrufs- und Rotationsprozesse nicht systematisch umgesetzt werden; in vielen Umgebungen ist die Standardoption für eine Rotation, die die Produktion brechen könnte, nichts zu tun. Die Erkennung ohne eine reale systematische Abhilfekapazität führt zu anhaltenden Schwachstellen.
Die Angriffe auf die Lieferkette haben ein besonders enthüllendes Fenster angeboten, wie sich die Geheimnisse an kompromittierten Maschinen verhalten. Untersuchungen, die kompromittierte Systeme analysierten, zeigten, dass die gleichen Anmeldeinformationen an mehreren Stellen auf dem gleichen Team erscheinen können: .env Dateien, Shell-Geschichte, IDE-Konfigurationen, Caches und bauen Artefakte. Und, alarmierend, ein erheblicher Teil der Maschinen beschäftigt waren CI / CD Läufer, die ein lokales Leck in ein organisatorisches Problem verwandelt. Ein Schlüssel, der in mehreren Artefakten repliziert wird, verwandelt einen lokalen menschlichen Fehler in einen hocheffizienten Zugang zur Skala.
Die Standardisierung von Agenten und Protokollen, die Modelle mit Werkzeugen und Daten verbinden, stellt eine neue Klasse von Expositionen vor. Da IA-Systeme durch lokale Konfigurationen und Fahnen mit externen Diensten integriert sind, ist es häufiger, Geheimnisse in JSON-Dateien oder in Agent-Konfigurationen zu finden. Dies stellt eine operationelle Frage, die viele Organisationen noch nicht auf einer Skala beantworten: Was gibt es nicht-menschliche Identitäten, die sie verwalten und welche Genehmigungen haben sie? Ohne eine Inventarisierung und Governance von Maschinen-zu-Maschine-Identitäten droht die Annahme von IA ein unkontrollierbares Netz des Zugangs.
Die Antwort ist nicht, zur Isolation zurückzukehren, sondern zu transformieren, wie Anmeldeinformationen in der Tagesentwicklung verwaltet werden. Es ist wichtig, statische und langfristige Anmeldeinformationen hinter sich zu lassen, ephemere und kurze Identitäten zu integrieren und die Tresor- und Geheimlösungen in die Standarderfahrung für Entwickler umzuwandeln. Zusätzlich muss jedes Leistungskonto, jeder CI Job und jeder Agent eine Lebenszyklusbehandlung erhalten: Erstellung, Eigentum, Berechtigungen und Widerruf. Effektive Sicherheit erfordert den Übergang von der Erkennung von Lecks zur Automatisierung der Mediation und der Steuerung nichtmenschlicher Identitäten.
Wenn Sie nach Lesungen und Ressourcen suchen, um zu vertiefen, bieten die GitGuardian Seiten eine umfassende Analyse dieser Phänomene, während Plattformen wie GitHub Dokumentenerkennung und Härtung Praktiken für Pipelines und Aktionen ( GitHub Dokumentation zum geheimen Scannen und Aushärten von GitHub Actions) Die Dokumentation von Lösungen wie HashiCorp Vault bietet praktische Anleitungen ( HashiCorp Vault), sowie die Rahmen und Empfehlungen für die Versorgungskette Sicherheit und Lieferkette als SLSA oder die Ressourcen CISA helfen, Risiken und Verteidigungsmaßnahmen zu kontextualisieren.
Kurz gesagt, der Umfang hat sich geändert und damit muss die Strategie geändert werden. Das Alter von nur öffentlichen GitHub Scannen und Warten auf Compliance ist nicht mehr genug. Organisationen, die die IA weiter einsetzen und die unexponierte Entwicklung beschleunigen wollen, müssen die volle Sichtbarkeit - interne Repositories, kollaborative Tools, Container, Registrierungen und Entwicklerendpunkte - mit automatisierten Rotationsprozessen und nicht-menschlichen Identitäts-Governancen integrieren. Nur so kann das Rauschen von Millionen von Geheimnissen zu einem nachhaltigen und sicheren Zugangsmanagement werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...