- GitGuardianのレポートが、AI駆動型コーディングが記録的なペースで秘密をリークしていることを警告
- 2025年にGitHub上で2,900万個の認証情報が漏洩し、前年比34%の増加
- AI支援コミットは基準のリーク率の2倍で、MCPコンフィグがエクスポーザーを加速
バイブコーディングは製品をすばやく出荷するのに最適に見えるかもしれませんが、経験の浅い開発者は、あちこちでブリーチと漏洩を引き起こす深刻なサイバーセキュリティの穴を残しています。これは、GitGuardianが最近発表した「Secrets Sprawlの状態」レポートによるものです。
研究文書では、同組織は2025年がAI採用が「恒久的に」ソフトウェアエンジニアリングを変えた年であると述べました。その年、パブリックコミットで前年比43%の増加があり、以前の少なくとも2倍の速度で成長しました。
コミット数の増加は秘密の増加も意味し、2021年以降、これらはアクティブ開発者人口の約1.6倍の速度で増加しています。また、AI支援コード内の秘密リーク率はGitHub全体の基準の約2倍でした。
記事は以下に続きます
ClaudeCode、MCPコンフィグ、およびその他のリスク
「これらの力が一緒に、GitHub上で新しくリークされた秘密の前年比34%の増加を促進し、検出された秘密の総数は約2,900万に達し、記録上最大の単一年の増加をマークしました」と同組織はプレスリリースで述べました。
GitGuardianによると、AI生成コードで見つかるすべての異なる脆弱性の中で、露出した認証情報は侵害への最大のパスのままです。Claude Codeで構築されたコミットは、約3.2%で秘密をリークしたようで、これはベースラインの2倍で、AIサービス認証情報リークは最も速く加速しているようです。AIサービスに関連するリークは前年比81%急増し、保護を「すり抜ける可能性がより高い」です。
GitGuardianは特にModel Context Protocol(MCP)の構成リスクを指摘しました。レポートによると、MCPサーバーのドキュメンテーションは、認証情報を構成ファイルに配置することをしばしば推奨していますが、これは24,000以上の秘密が露出することに寄与した危険なパターンです。
この論文はさらに、内部リポジトリが公開リポジトリと比較して、ハードコードされた秘密を含む可能性が6倍高いことを説明し、インシデントの4分の1以上(28%)が協力およびプロダクティビティツールのリークから発生することを強調しました。
最後に、AIエージェントがより深いローカルアクセスを取得することで、プロンプトインジェクションとサプライチェーン攻撃はより破壊的になっています:
「AIエージェントがシステム全体に接続するためにはローカル認証情報が必要で、開発者のラップトップを大規模な攻撃表面に変えています。私たちはそれらを保護するためにローカルスキャンとアイデンティティインベントリツールを構築しました。セキュリティチームは、どのマシンがどの秘密を保持しているかを正確にマップアウトし、過度な権限アクセスや露出した本番キーなどの重大な弱点を明らかにする必要があります」とGitGuardianのCEOであるEric Fourrierは述べました。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、動画形式のアンボックスを取得し、WhatsAppでも定期的なアップデートを受け取ってください。
