GitGuardian, sikkerhetsselskapet bak GitHubs mest installerte applikasjon, har publisert den femte utgaven av rapporten State of Secrets Sprawl. Rapporten viser hvordan den utbredte bruken av KI i 2025 har endret programvareutviklingen, samtidig som eksponeringen av ikke-menneskelige identiteter (NHI) og innloggingsopplysninger har økt betydelig.
I 2025 ble det identifisert rundt 29 millioner lekkede hemmeligheter på offentlige GitHub-repositorier. Det er en økning på 34 prosent sammenlignet med året før, og den største årlige økningen som er registrert.
– KI-agenter trenger lokale autentiseringsopplysninger for å koble sammen systemer, noe som gjør utviklernes bærbare datamaskiner til en omfattende angrepsflate. Vi har utviklet et lokalt verktøy for identitetsskanning og inventar for å beskytte disse. Sikkerhetsteam må kartlegge hvilke maskiner som inneholder hvilke hemmeligheter, og identifisere kritiske svakheter som overprivilegert tilgang og eksponerte produksjonsnøkler, sier Eric Fourrier, administrerende direktør i GitGuardian.
KI endrer risikobildet
Rapporten peker på 2025 som et vendepunkt for programvareøkosystemet. Antallet offentlige commits økte med 43 prosent sammenlignet med året før, minst dobbelt så raskt som tidligere veksttakt. Siden 2021 har antallet eksponerte hemmeligheter økt rundt 1,6 ganger raskere enn antallet aktive utviklere. Samtidig lekket hemmelig informasjon i KI-assistert kode i gjennomsnitt dobbelt så mye som gjennomsnittet for hele GitHub.
Økt risiko knyttet til KI-tjenester
KI-assistert koding har gjort det enklere å utvikle programvare, også for brukere uten formell utviklerbakgrunn. Samtidig innebærer dette økt risiko. Mindre erfarne utviklere kan mangle nødvendig sikkerhetsforståelse og overse advarsler fra KI-verktøy, eller aktivt inkludere sensitiv informasjon i koden.
I commits assistert av Claude Code ble det registrert lekkasjer i rundt 3,2 prosent av tilfellene, omtrent dobbelt så høyt som gjennomsnittet. Ifølge rapporten skyldes mange av disse hendelsene menneskelige feil, ikke bare svakheter i KI-systemene.
Lekkasjer knyttet til KI-tjenester økte til 1 275 105 identifiserte hemmeligheter i 2025, en økning på 81 prosent. Disse lekkasjene har også større sannsynlighet for å omgå tradisjonelle sikkerhetsmekanismer, som i stor grad er tilpasset klassiske utviklingsprosesser.
Rapporten peker også på økende risiko knyttet til såkalte MCP-konfigurasjoner, der dokumentasjon ofte anbefaler å lagre påloggingsinformasjon direkte i konfigurasjonsfiler. I analyserte MCP-filer ble det identifisert 24 008 unike eksponerte hemmeligheter.
Interne miljøer utgjør størst risiko
Til tross for oppmerksomheten rundt offentlige kodeplattformer, er det interne koderepositorier som utgjør den største risikoen. Disse har om lag seks ganger høyere sannsynlighet for eksponering enn offentlige miljøer.
Videre skjer 28 prosent av hendelsene utenfor tradisjonelle kodemiljøer, i samarbeids- og produktivitetsverktøy, hvor innloggingsinformasjon kan bli eksponert for et bredere spekter av brukere, automatiseringer og KI-agenter.
Etter hvert som KI-agenter får økt tilgang til utviklermiljøer – inkludert applikasjoner, terminaler og passordhvelv – øker også angrepsflaten. Angrep som prompt-injeksjon og angrep i forsyningskjeden kan dermed gjøre lokale hemmeligheter til en risiko på organisasjonsnivå.
Manglende oppfølging av lekkasjer
Ifølge GitGuardian er det ikke bare omfanget av lekkasjer som er utfordrende, men også manglende oppfølging. Rundt 60 prosent av regelverksbruddene er knyttet til langlivede innloggingsopplysninger, noe som tyder på en treg overgang til kortlivede og mer restriktive tilgangsmodeller.
Videre mangler 46 prosent av kritiske hemmeligheter valideringsmekanismer fra leverandører, noe som gjør prioritering og risikovurdering mer krevende. Samtidig var 64 prosent av gyldige hemmeligheter som ble identifisert i 2022 fortsatt ikke tilbakekalt i 2026.
GitGuardian peker på at fremtidige sikkerhetsløsninger må behandle ikke-menneskelige identiteter som egne sikkerhetsobjekter, med dedikert styring, kontekstforståelse og automatisert håndtering på tvers av både kodebaser og andre datakilder.
Global
