據(jù)GitGuardian的最新報(bào)告，2023年GitHub平臺(tái)上發(fā)生了大規(guī)模的敏感信息泄露事件，超過300萬(wàn)個(gè)公開代碼庫(kù)累計(jì)泄漏超過1280萬(wàn)個(gè)身份驗(yàn)證和敏感密鑰，其中絕大部分信息在泄露后5天內(nèi)仍保持有效。

憑證泄漏首次成為數(shù)據(jù)泄漏主因

2023年憑證泄露首次成為網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄漏的主要原因。2023年的Sophos報(bào)告指出，憑證泄露是上半年所有攻擊事件的根源之一，占比高達(dá)50%。漏洞利用緊隨其后，占23%。

作為全球最受歡迎的代碼托管和協(xié)作平臺(tái)，GitHub上的密鑰泄露事件自2020年以來呈快速惡化的增長(zhǎng)趨勢(shì)：

2020-2023年GitHub憑證信息泄漏快速

2023年，GitGuardian掃描了11億次提交（+10.6%），其中800萬(wàn)次提交至少暴露了一個(gè)秘密（+30.3%）。

GitGuardian向泄露密鑰的用戶發(fā)送了180萬(wàn)封免費(fèi)電子郵件提醒，但僅僅只有1.8%的用戶采取了措施糾正錯(cuò)誤。泄露的敏感信息包括賬戶密碼、API密鑰、TLS/SSL證書、加密密鑰、云服務(wù)憑證、OAuth令牌等，這些信息一旦落入外部人員手中，可能會(huì)導(dǎo)致數(shù)據(jù)泄露和財(cái)務(wù)損失。

憑證泄露的重災(zāi)區(qū)

2023年GitHub密鑰泄露最為嚴(yán)重的國(guó)家是印度、美國(guó)、巴西、中國(guó)、法國(guó)、加拿大、越南、印度尼西亞、韓國(guó)和德國(guó)。

泄露最為嚴(yán)重的行業(yè)是IT行業(yè)，占比高達(dá)65.9%。其次是教育行業(yè)，占比20.1%。其他行業(yè)(科學(xué)、零售、制造、金融、公共管理、醫(yī)療、娛樂、交通)泄露占比為14%。

GitGuardian用通用檢測(cè)器對(duì)2023年的泄露憑證進(jìn)行了分析，具體類型分布如下：

前10名通用泄露憑證類型

特定檢測(cè)器可以將泄露的憑證細(xì)分更具體的類別，結(jié)果顯示泄露最為嚴(yán)重的憑證類型包括谷歌API和谷歌云密鑰、MongoDB憑證、OpenWeatherMap和Telegram機(jī)器人令牌、MySQL和PostgreSQL憑證，以及GitHub OAuth密鑰。

僅在2023年，就檢測(cè)到了超過100萬(wàn)個(gè)有效的Google API憑證、25萬(wàn)個(gè)Google Cloud憑證和14萬(wàn)個(gè)AWS憑證。

TOP10特定密鑰類型

值得注意的是，只有2.6%的泄露憑證會(huì)在泄露后的第一小時(shí)內(nèi)被撤銷，高達(dá)91.6%的憑證在5天后(GitGuardian停止監(jiān)控其狀態(tài)時(shí))仍保持有效。

Riot Games、GitHub、OpenAI和AWS等公司似乎擁有較為完善的應(yīng)對(duì)機(jī)制，可以幫助檢測(cè)到泄露憑證的代碼提交并及時(shí)補(bǔ)救。

AI泄密暴增

生成式AI工具在2023年呈爆發(fā)式增長(zhǎng)，在GitHub上泄露的AI項(xiàng)目相關(guān)密鑰數(shù)量也同步增長(zhǎng)。

與2022年相比，2023年在GitHub上泄露的OpenAI API密鑰數(shù)量激增了1212倍，平均每月泄露46,441個(gè)API密鑰，成為報(bào)告中增長(zhǎng)最快的泄露數(shù)據(jù)點(diǎn)。OpenAI旗下的產(chǎn)品ChatGPT和DALL-E廣受歡迎，不僅局限于科技圈。許多企業(yè)和員工會(huì)在ChatGPT提示中輸入敏感信息，一旦密鑰泄露，后果將不堪設(shè)想。

開源AI模型倉(cāng)庫(kù)Hugging Face的泄露密鑰數(shù)量也急劇增加，這與其在AI研究人員和開發(fā)者中的日益流行直接相關(guān)。

OpenAIAPI密鑰與Hugging Face用戶訪問令牌的月度泄漏數(shù)量

其他AI服務(wù)(例如Cohere、Claude、Clarifai、Google Bard、Pinecone和Replicate)也出現(xiàn)了密鑰泄露事件，但數(shù)量遠(yuǎn)低于OpenAI和Hugging Face。

不同人工智能項(xiàng)目的每月泄漏憑證數(shù)量（與其流行度和采用率相關(guān)）

GitGuardian認(rèn)為，不僅使用AI服務(wù)的用戶需要更好地保護(hù)密鑰安全，AI技術(shù)本身也需要加強(qiáng)檢測(cè)和保護(hù)密鑰。

報(bào)告指出，大語(yǔ)言模型(LLM)可以幫助快速分類泄露密鑰并降低誤報(bào)率。然而，要大規(guī)模應(yīng)用此類技術(shù)，還需要解決運(yùn)營(yíng)成本、時(shí)間投入以及識(shí)別效率等方面的限制因素。

值得一提的是，GitHub在上個(gè)月啟用了默認(rèn)的推送保護(hù)功能，用于防止用戶在將新代碼推送到平臺(tái)時(shí)意外泄露密鑰。