С 2021 года объём утечек секретных данных — API-ключей, токенов доступа, паролей к базам данных — вырос на 152%. За тот же период база публичных разработчиков на GitHub увеличилась лишь на 98%. Разрыв между этими цифрами объясняется просто: кода стало генерироваться больше, чем люди физически способны написать сами. Автодополнение, копилоты, шаблонные генераторы — всё это выбрасывает в репозитории огромные объёмы текста, в котором прячутся захардкоженные учётные данные. Проблема растёт не линейно, а экспоненциально, и пока ничто не указывает на замедление.
Восемь из десяти самых быстрорастущих категорий утекших секретов напрямую связаны с ИИ-инфраструктурой. Среди лидеров — Brave Search (API для поиска и извлечения данных) с ростом на 1 255%, Supabase (управляемые бэкенды) с ростом на 992% и Firecrawl (инструменты оркестрации) — плюс 796%. Платформы вроде OpenAI и Anthropic генерируют вокруг себя целый зоопарк ключей и токенов, которые разработчики раскидывают по конфигам и забывают убрать. ИИ-экосистема порождает секреты быстрее, чем кто-либо успевает о них задуматься.
Расхожее мнение, что главная угроза — это публичные репозитории, оказалось ошибочным. Внутренние репозитории протекают в шесть раз чаще публичных: 5,6% внутренних репозиториев содержат как минимум один захардкоженный секрет против 2% для публичных. Внутри компаний циркулируют токены CI/CD-пайплайнов, ключи к облачным сервисам, пароли к базам — и всё это лежит в коде так, будто никто никогда не полезет смотреть. Ложное чувство безопасности, которое дает слово «internal», на практике обходится дорого.
28% утечек происходят вообще за пределами исходного кода. Секреты всплывают в инструментах совместной работы — мессенджерах, тикет-трекерах, вики. Причём тяжесть таких утечек выше: 56,7% найденных в коллаборационных инструментах секретов получают рейтинг «критический», тогда как в коде этот показатель — 43,7%. Типичные сценарии: кто-то вставляет пароль в Slack во время разбора инцидента, копирует ключ в Confluence при онбординге нового сотрудника, пересылает креды в тикете с пометкой «потом удалю». Никто не удаляет.
Контейнерные реестры и Docker-образы добавляют проблем. При сканировании 18% Docker-образов содержали секреты, и 15% из этих секретов оставались валидными. В GitLab-репозиториях ситуация похожая: 12% содержали секреты, 12% из найденных были действующими. Суммарно из этих систем удалось извлечь порядка 80 000 учётных данных, из которых 10 000 по-прежнему работали. Это не теоретическая уязвимость, а готовый набор для взлома.
Ахиллесова пята всей индустрии — ротация и отзыв скомпрометированных секретов. 64% секретов, утекших ещё в 2022 году, до сих пор валидны. Три года прошло. Проблема не в том, что никто не знает об утечке, а в том, что замена учётных данных в билд-системах и CI-переменных пугает инженеров: сломаешь прод, получишь проблемы серьёзнее, чем гипотетический взлом. Ротация не автоматизирована и не превращена в рутинную процедуру, поэтому старые ключи живут месяцами и годами.
Атаки на цепочки поставок выводят угрозу на новый уровень. В ходе исследования «Shai-Hulud 2» выяснилось, что на одной скомпрометированной машине секреты обнаруживаются в среднем в восьми разных местах:.env-файлы, история командной оболочки, конфиги IDE и так далее. При этом 59% скомпрометированных машин оказались CI/CD-раннерами, а не личными ноутбуками разработчиков. Атака на проект LiteLLM показала другой вектор: вредоносные пакеты собирали SSH-ключи, облачные креды и API-токены прямо из сред разработки ИИ-приложений.
Новая головная боль — протокол Model Context Protocol (MCP). Серверы MCP за первый год существования успели засветить более 24 000 секретов. Агентный ИИ, набирающий популярность, нормализует хранение учётных данных в конфигурационных файлах, флагах запуска, локальных JSON-файлах. Это не баг конкретного продукта, а системная тенденция: чем больше автономных агентов, тем больше мест, где ключи лежат открыто.
Отчёт The State of Secrets Sprawl 2026 фиксирует сдвиг в мышлении — от обнаружения отдельных инцидентов к управлению так называемыми нечеловеческими идентичностями (Non-Human Identity, NHI). Речь о сервисных аккаунтах, API-ключах, токенах ботов — обо всём, что действует от имени систем, а не людей. Требования к NHI-программе: идентифицировать все нечеловеческие идентичности, определить их владельцев и границы доступа, ликвидировать статические долгоживущие креды, перейти на короткоживущие токены с привязкой к идентичности и сделать хранение секретов в vault'ах стандартной практикой по умолчанию.
Пока организации пытаются контролировать утечки, мониторя только GitHub, реальная поверхность атаки давно вышла за его пределы — во внутренние системы, инструменты коммуникации, контейнерные реестры, конфиги AI-агентов. Без перехода от точечного реагирования к комплексному управлению нечеловеческими идентичностями индустрия продолжит наступать на грабли, которые с каждым годом становятся всё острее.
Изображение носит иллюстративный характер
Восемь из десяти самых быстрорастущих категорий утекших секретов напрямую связаны с ИИ-инфраструктурой. Среди лидеров — Brave Search (API для поиска и извлечения данных) с ростом на 1 255%, Supabase (управляемые бэкенды) с ростом на 992% и Firecrawl (инструменты оркестрации) — плюс 796%. Платформы вроде OpenAI и Anthropic генерируют вокруг себя целый зоопарк ключей и токенов, которые разработчики раскидывают по конфигам и забывают убрать. ИИ-экосистема порождает секреты быстрее, чем кто-либо успевает о них задуматься.
Расхожее мнение, что главная угроза — это публичные репозитории, оказалось ошибочным. Внутренние репозитории протекают в шесть раз чаще публичных: 5,6% внутренних репозиториев содержат как минимум один захардкоженный секрет против 2% для публичных. Внутри компаний циркулируют токены CI/CD-пайплайнов, ключи к облачным сервисам, пароли к базам — и всё это лежит в коде так, будто никто никогда не полезет смотреть. Ложное чувство безопасности, которое дает слово «internal», на практике обходится дорого.
28% утечек происходят вообще за пределами исходного кода. Секреты всплывают в инструментах совместной работы — мессенджерах, тикет-трекерах, вики. Причём тяжесть таких утечек выше: 56,7% найденных в коллаборационных инструментах секретов получают рейтинг «критический», тогда как в коде этот показатель — 43,7%. Типичные сценарии: кто-то вставляет пароль в Slack во время разбора инцидента, копирует ключ в Confluence при онбординге нового сотрудника, пересылает креды в тикете с пометкой «потом удалю». Никто не удаляет.
Контейнерные реестры и Docker-образы добавляют проблем. При сканировании 18% Docker-образов содержали секреты, и 15% из этих секретов оставались валидными. В GitLab-репозиториях ситуация похожая: 12% содержали секреты, 12% из найденных были действующими. Суммарно из этих систем удалось извлечь порядка 80 000 учётных данных, из которых 10 000 по-прежнему работали. Это не теоретическая уязвимость, а готовый набор для взлома.
Ахиллесова пята всей индустрии — ротация и отзыв скомпрометированных секретов. 64% секретов, утекших ещё в 2022 году, до сих пор валидны. Три года прошло. Проблема не в том, что никто не знает об утечке, а в том, что замена учётных данных в билд-системах и CI-переменных пугает инженеров: сломаешь прод, получишь проблемы серьёзнее, чем гипотетический взлом. Ротация не автоматизирована и не превращена в рутинную процедуру, поэтому старые ключи живут месяцами и годами.
Атаки на цепочки поставок выводят угрозу на новый уровень. В ходе исследования «Shai-Hulud 2» выяснилось, что на одной скомпрометированной машине секреты обнаруживаются в среднем в восьми разных местах:.env-файлы, история командной оболочки, конфиги IDE и так далее. При этом 59% скомпрометированных машин оказались CI/CD-раннерами, а не личными ноутбуками разработчиков. Атака на проект LiteLLM показала другой вектор: вредоносные пакеты собирали SSH-ключи, облачные креды и API-токены прямо из сред разработки ИИ-приложений.
Новая головная боль — протокол Model Context Protocol (MCP). Серверы MCP за первый год существования успели засветить более 24 000 секретов. Агентный ИИ, набирающий популярность, нормализует хранение учётных данных в конфигурационных файлах, флагах запуска, локальных JSON-файлах. Это не баг конкретного продукта, а системная тенденция: чем больше автономных агентов, тем больше мест, где ключи лежат открыто.
Отчёт The State of Secrets Sprawl 2026 фиксирует сдвиг в мышлении — от обнаружения отдельных инцидентов к управлению так называемыми нечеловеческими идентичностями (Non-Human Identity, NHI). Речь о сервисных аккаунтах, API-ключах, токенах ботов — обо всём, что действует от имени систем, а не людей. Требования к NHI-программе: идентифицировать все нечеловеческие идентичности, определить их владельцев и границы доступа, ликвидировать статические долгоживущие креды, перейти на короткоживущие токены с привязкой к идентичности и сделать хранение секретов в vault'ах стандартной практикой по умолчанию.
Пока организации пытаются контролировать утечки, мониторя только GitHub, реальная поверхность атаки давно вышла за его пределы — во внутренние системы, инструменты коммуникации, контейнерные реестры, конфиги AI-агентов. Без перехода от точечного реагирования к комплексному управлению нечеловеческими идентичностями индустрия продолжит наступать на грабли, которые с каждым годом становятся всё острее.
