O fenômeno conhecido como "secrets sprawl" não só continua, mas em 2025 acelerou-se a um ritmo que surpreendeu muitos equipamentos de segurança. Uma análise em grande escala de repositórios públicos e ambientes internos revela que milhões de credenciais foram expostas em código, em ferramentas de colaboração e em imagens e registries, ampliando uma superfície de ataque que já era difícil de conter. Os números são contundentes: apenas em 2025 foram detectadas dezenas de milhões de segredos novos, o que confirma que a detecção pontual já não basta.
Por trás desta explosão há um fator que merece especial atenção: a adoção maciça de ferramentas de inteligência artificial e de fluxos de trabalho assistidos por modelos. Os assistentes de código e os geradores de snippets mudaram tanto a forma de escrever software como o local onde são armazenados e compartilham credenciais. As integrações de IA geram novas identidades máquina a máquina e multiplicam os pontos de fuga, de chaves de APIs para serviços LLM até tokens para orquestradores e backends geridos. Para entender por que isso é crítico, basta olhar que muitas das categorias de segredos com maior crescimento estão relacionadas com infraestrutura de IA e suas APIs.
Outro achado que deveria alterar as prioridades de qualquer equipe de segurança é a localização dos segredos de alto valor. Enquanto o foco mediático costuma situar-se no GitHub público, os ambientes internos contêm a maior parte das credenciais sensíveis: tokens de CI/CD, chaves de acesso à nuvem, senhas de bases de dados e similares. Tentar os repositórios internos como se fossem "ocultos" já não é uma estratégia viável, porque em muitos casos são precisamente o objetivo que permite escalar um compromisso de um ponto inicial a recursos críticos.
Além disso, as fugas não se restringem ao código fonte. Uma parte significativa de incidentes se origina em ferramentas de colaboração como canais de mensagens, tickets e documentação compartilhada. Estes espaços são usados para resolver incidentes, para onboarding ou para troca rápida de credenciais temporárias, e frequentemente recebem menos controles automatizados do que o código. Quando as chaves aparecem no Slack, Jira ou Confluence costumam ser mais críticas, porque sua exposição não fica limitada ao histórico de commits, mas se propaga entre equipes e logs.
A presença de segredos em infraestruturas auto-alojadas e em contentores é outro vetor preocupante. Escaneos sobre registries e sistemas Git auto-alojados mostraram milhares de credenciais expostas, com uma porcentagem significativa ainda válida no momento da descoberta. As imagens de Docker, em particular, costumam conter artefatos de construção e variáveis de ambiente que acabam sendo cópias duradouras de chaves e tokens. Quando as credenciais viajam em imagens ou artefatos de build, sua rotação é complicada e seu potencial de impacto se multiplica.
Um dado que deve fazer soar todos os alarmes é a durabilidade dos segredos filtrados: muitas credenciais confirmadas como válidas há anos continuam exploráveis hoje. Isso indica que os processos de revogação e rotação não estão implementados de forma sistemática; em muitos ambientes a opção por defeito diante de uma rotação que poderia romper produção é não fazer nada. A detecção sem capacidade real de remediação sistemática converte os achados em vulnerabilidades persistentes.
Os ataques à cadeia de abastecimento ofereceram uma janela particularmente reveladora sobre como os segredos se comportam em máquinas comprometidas. Pesquisas que analisaram sistemas comprometidos mostraram que uma mesma credencial pode aparecer em múltiplos lugares de uma mesma equipe: arquivos .env, histórico de shell, configurações de IDE, caches e artefatos de build. E, mais alarmante ainda, uma proporção notável de máquinas comprometidas eram runners de CI/CD, o que transforma uma fuga local em um problema organizacional. Uma chave replicada em vários artefatos converte um erro humano local em um acesso de alto impacto a escala.
A normalização de agentes e protocolos que ligam modelos com ferramentas e dados está introduzindo uma nova classe de exposições. Conforme os sistemas de IA se integram com serviços externos através de configurações e flags locais, é mais comum encontrar segredos em arquivos JSON ou em configurações de agentes. Isto levanta uma questão operacional que muitas organizações ainda não respondem à escala: que identidades não humanas existem, quem as administra e quais licenças possuem? Sem um inventário e governança de identidades máquina a máquina, a adoção de IA corre o risco de criar uma rede incontrolável de acessos.
A resposta não é voltar ao isolamento, mas sim transformar as credenciais no dia a dia do desenvolvimento. É imprescindível deixar para trás credenciais estáticas e de longa duração, incorporar identidades efímeras e curtas, e converter ao vault e às soluções de segredos na experiência por defeito para desenvolvedores. Além disso, cada conta de serviço, cada job de CI e cada agente deve receber tratamento de ciclo de vida: criação, propriedade, permissões e revogação. A segurança efetiva exige passar de detectar vazamentos a automatizar a remediação e governar as identidades não humanas.
Se você procura leituras e recursos para aprofundar, as páginas do GitGuardian fornecem a análise exaustiva desses fenômenos, enquanto plataformas como o GitHub documentam práticas de detecção e endurecimento para pipelines e ações ( Documentação do GitHub sobre secret scanning e endurecimento do GitHub Actions). Para adotar fluxos de trabalho centrados em identidade e credenciais efímeras, a documentação de soluções como HashiCorp Vault oferece guias práticas ( HashiCorp Vault), e os quadros e recomendações sobre segurança da cadeia de abastecimento e supply chain como SLSA ou recursos CISA ajudam a contextualizar riscos e medidas defensivas.
Em suma, o perímetro mudou e com ele deve mudar a estratégia. A era de digitalizar apenas o GitHub público e esperar cumprimento já não é suficiente. As organizações que queiram continuar a desenvolver IA e acelerar o desenvolvimento sem expor devem integrar visibilidade completa – recursos internos, ferramentas colaborativas, contêineres, registries e endpoints de desenvolvedor – com processos automatizados de rotação e governança de identidades não humanas. Só assim se pode converter o ruído de milhões de segredos em uma gestão sustentável e segura do acesso.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...