法国网络安全**企业 GitGuardian 近日发布了第五版年度《密钥蔓延现状》报告,揭示了人工智能(AI)技术普及对软件安全带来的严峻挑战。报告显示,2025 年受 AI 服务驱动的密钥泄露事件同比激增81%,而在 GitHub 公共仓库中检测到的敏感密钥总数已高达2900 万,创下历史新高。
作为全球最大的代码托管平台,GitHub 已成为软件开发生态的核心。然而,随着 AI 辅助编程工具的广泛采用,软件工程的运作模式发生了根本性转变。2025 年,GitHub 上的公共代码提交量同比增长了43%,增速是过去几年的两倍以上。自 2021 年以来,密钥泄露的增长速度比活跃开发者人数的增长速度高出约1.6 倍。在 AI 辅助编写的代码中,密钥泄露的平均发生率约为 GitHub 整体水平的两倍。
报告特别指出,AI 助手在加速开发的同时,也放大了安全风险。使用 Claude Code 等 AI 工具进行代码提交时,密钥泄露率高达3.2%,远超 1.5% 的全行业平均水平。这种风险不仅源于技术本身,更源于“人为因素”:AI 降低了编程门槛,使得缺乏安全意识的初级开发者更容易在不知情的情况下将敏感信息写入代码,甚至主动要求 AI 包含敏感数据。
除了传统的代码仓库,AI 还催生了新的泄露渠道。AI 服务相关的身份标识泄露增长了 81%,且更容易绕过针对传统开发流程设计的安全防护。此外,MCP(模型上下文协议)服务器配置不当也带来了新风险,约 2.4 万个唯一密钥因配置错误直接暴露在配置文件中。更值得注意的是,AI 代理需要本地访问权限来连接系统,使得开发者的本地工作站成为新的攻击面,本地密钥可能通过提示词注入或供应链攻击转化为组织级风险。
报告还揭示了安全治理的滞后性。约 60% 的安全违规涉及长期有效的密钥,表明向临时访问权限的转型依然缓慢。更严峻的是,2022 年泄露且至今仍然有效的密钥中,有64%在 2026 年仍未得到处理,主要原因是安全团队缺乏有效的治理机制来持续应对此类事件。GitGuardian 强调,未来的安全策略必须将“非人类身份”(NHI)视为核心战略资产,建立专门的治理体系,而不仅仅是依赖检测工具。
对于中国软件企业而言,这一报告敲响了警钟:在拥抱 AI 提效的同时,必须同步升级“机器身份”的治理体系,不能仅依赖传统的代码扫描,而应建立覆盖本地环境、协作工具及 AI 代理的端到端密钥管理闭环,避免在追求开发速度的过程中埋下巨大的安全隐患。