- O relatório do GitGuardian alerta que a codificação baseada em IA está vazando segredos em um ritmo recorde
- 2025 viu 29 milhões de credenciais no GitHub, +34% ano após ano
- Ele se compromete a dobrar as taxas de escape básicas assistidas por IA, com configurações de MCP alimentando as exposições
A codificação Vibe pode parecer ótima para envio rápido de produtos, mas desenvolvedores inexperientes estão deixando brechas na segurança cibernética que levam a violações e exposições a torto e a direito. Isso está de acordo com o último relatório do GitGuardian, o recém-lançado artigo “State of Secrets Sprawl”.
No artigo de pesquisa, a organização disse que 2025 foi o ano em que a adoção da IA “mudou para sempre” a engenharia de software. Naquele ano, houve um aumento anual de 43% nos compromissos públicos, crescendo duas vezes mais rápido do que antes.
Um aumento nas promessas também significa um aumento nos segredos e, desde 2021, eles estão crescendo 1,6 vezes mais rápido do que a população ativa de desenvolvedores. Além disso, as taxas de vazamento em código assistido por IA foram aproximadamente o dobro da linha de base do GitHub.
O artigo continua abaixo
ClaudeCode, configurações de MCP e outros riscos
“Juntas, essas forças levaram a um aumento de 34% no vazamento de novos segredos no GitHub ao longo do ano, elevando o total para cerca de 29 milhões de segredos detectados, marcando o maior salto anual já registrado”, disse a organização em um comunicado à imprensa.
Das várias vulnerabilidades que podem ser encontradas no código gerado por IA, as credenciais expostas continuam sendo a maior via de comprometimento, diz GitGuardian. Os compromissos construídos com o Código Claude aparentemente vazaram segredos a uma taxa de 3,2%, o dobro da linha de base, e parecem ser os vazamentos de credenciais de serviços de IA com aceleração mais rápida. Os vazamentos relacionados aos serviços de IA aumentaram 81% ano a ano e “provavelmente” passarão pelas proteções.
GitGuardian destacou especificamente o risco de configuração do Model Context Protocol (MCP). O relatório diz que a documentação do servidor MCP recomenda colocar credenciais em arquivos de configuração, um padrão perigoso que ajudou a expor mais de 24.000 segredos.
O artigo também explica que os repositórios internos têm seis vezes mais probabilidade de conter segredos difíceis em comparação com os públicos, e aponta que mais de um quarto (28%) dos incidentes provêm de vazamentos em ferramentas de colaboração e produtividade.
Finalmente, à medida que os agentes de IA obtêm acesso local mais profundo, a injeção instantânea e os ataques à cadeia de abastecimento tornam-se mais perturbadores:
“Os agentes de IA precisam de credenciais locais para se conectarem a todos os sistemas, tornando os laptops dos desenvolvedores uma enorme superfície de ataque. Construímos nossa própria ferramenta de varredura local e inventário de identidade para protegê-los. As equipes de segurança precisam identificar quais máquinas contêm segredos e descobrir vulnerabilidades críticas, como acesso com privilégios excessivos e chaves de produção expostas.” disse o CEO do GitGuardian, Eric Fourrier.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
