GitGuardian, sikkerhedsvirksomheden bag GitHubs mest installerede applikation, har offentliggjort den femte udgave af rapporten State of Secrets Sprawl. Rapporten viser, hvordan den udbredte brug af AI i 2025 har ændret softwareudviklingen, samtidig med at eksponeringen af ikke-menneskelige identiteter (NHI) og loginoplysninger er steget markant.
I 2025 blev der identificeret omkring 29 millioner lækkede hemmeligheder i offentlige GitHub-repositorier. Det er en stigning på 34 procent sammenlignet med året før og den største årlige stigning, der er registreret.
– AI-agenter har brug for lokale autentifikationsoplysninger for at forbinde systemer, hvilket gør udvikleres bærbare computere til en omfattende angrebsflade. Vi har udviklet et lokalt værktøj til identitetsscanning og inventar for at beskytte disse. Sikkerhedsteams skal kortlægge, hvilke maskiner der indeholder hvilke hemmeligheder, og identificere kritiske svagheder som overprivilegeret adgang og eksponerede produktionsnøgler, siger Eric Fourrier, administrerende direktør i GitGuardian.
AI ændrer risikobilledet
Rapporten peger på 2025 som et vendepunkt for softwareøkosystemet. Antallet af offentlige commits steg med 43 procent sammenlignet med året før, mindst dobbelt så hurtigt som tidligere vækstrater. Siden 2021 er antallet af eksponerede hemmeligheder vokset cirka 1,6 gange hurtigere end antallet af aktive udviklere. Samtidig lækkede hemmelig information i AI-assisteret kode i gennemsnit dobbelt så meget som gennemsnittet for hele GitHub.
Øget risiko ved AI-tjenester
AI-assisteret kodning har gjort det nemmere at udvikle software, også for brugere uden formel udviklerbaggrund. Samtidig medfører det øget risiko. Mindre erfarne udviklere kan mangle den nødvendige sikkerhedsforståelse og overse advarsler fra AI-værktøjer eller aktivt inkludere følsomme oplysninger i koden.
I commits assisteret af Claude Code blev der registreret lækager i omkring 3,2 procent af tilfældene, cirka dobbelt så højt som gennemsnittet. Ifølge rapporten skyldes mange af disse hændelser menneskelige fejl, ikke kun svagheder i AI-systemerne.
Lækager knyttet til AI-tjenester steg til 1.275.105 identificerede hemmeligheder i 2025, en stigning på 81 procent. Disse lækager har også større sandsynlighed for at omgå traditionelle sikkerhedsmekanismer, som i høj grad er tilpasset klassiske udviklingsprocesser.
Rapporten peger også på stigende risiko knyttet til såkaldte MCP-konfigurationer, hvor dokumentation ofte anbefaler at gemme loginoplysninger direkte i konfigurationsfiler. I analyserede MCP-filer blev der identificeret 24.008 unikke eksponerede hemmeligheder.
Interne miljøer udgør størst risiko
På trods af opmærksomheden omkring offentlige kodeplatforme er det interne koderepositorier, der udgør den største risiko. Disse har cirka seks gange højere sandsynlighed for eksponering end offentlige miljøer.
Desuden sker 28 procent af hændelserne uden for traditionelle kodemiljøer, i samarbejds- og produktivitetsværktøjer, hvor loginoplysninger kan blive eksponeret for et bredere spektrum af brugere, automatiseringer og AI-agenter.
Efterhånden som AI-agenter får øget adgang til udviklingsmiljøer – herunder applikationer, terminaler og password vaults – øges angrebsfladen også. Angreb som prompt-injektion og angreb i forsyningskæden kan dermed gøre lokale hemmeligheder til en risiko på organisationsniveau.
Manglende opfølgning på lækager
Ifølge GitGuardian er det ikke kun omfanget af lækager, der er udfordrende, men også manglende opfølgning. Omkring 60 procent af regelbruddene er knyttet til langlivede loginoplysninger, hvilket tyder på en langsom overgang til kortlivede og mere restriktive adgangsmodeller.
Derudover mangler 46 procent af kritiske hemmeligheder valideringsmekanismer fra leverandører, hvilket gør prioritering og risikovurdering vanskeligere. Samtidig var 64 procent af gyldige hemmeligheder identificeret i 2022 stadig ikke tilbagekaldt i 2026.
GitGuardian påpeger, at fremtidige sikkerhedsløsninger skal behandle ikke-menneskelige identiteter som selvstændige sikkerhedsobjekter med dedikeret styring, kontekstforståelse og automatiseret håndtering på tværs af både kodebaser og andre datakilder.
Sverige
