Der auffälligste Treiber ist künstliche Intelligenz. GitGuardian registrierte 2025 rund 1.275.105 geleakte Secrets, die mit KI-Diensten verknüpft waren – ein Plus von 81 Prozent gegenüber 2024. Acht der zehn am schnellsten wachsenden Kategorien geleakter Geheimnisse standen im Zusammenhang mit KI. Dabei geht es nicht nur um Schlüssel von OpenAI oder Anthropic: Den stärksten Zuwachs verzeichnet die LLM-Infrastruktur, etwa Retrieval-APIs wie Brave Search (+1.255 %), Orchestrierungswerkzeuge wie Firecrawl (+796 %) und verwaltete Backends wie Supabase (+992 %). Jede neue KI-Integration bringt eine weitere Maschinenidentität mit sich und vergrößert die Angriffsfläche.
Während das öffentliche GitHub die meiste Aufmerksamkeit erhält, liegen die wertvollsten Zugangsdaten laut GitGuardian in internen Repositories. 32,2 Prozent der internen Repos enthalten mindestens ein hartkodiertes Geheimnis, gegenüber nur 5,6 Prozent der öffentlichen. Dabei handelt es sich nicht um Testschlüssel, sondern um CI/CD-Tokens, Cloud-Zugangsdaten und Datenbankpasswörter – also genau jene Ressourcen, auf die es Angreifer abgesehen haben.
Geheimnisse stecken nicht nur in Repositories. 28 Prozent der Vorfälle 2025 stammten vollständig außerhalb des Quellcodes – aus Werkzeugen wie Slack, Jira und Confluence. Diese Lecks sind gefährlicher: 56,7 Prozent der ausschließlich in Kollaborationswerkzeugen gefundenen Secrets wurden als kritisch eingestuft, gegenüber 43,7 Prozent bei rein codebasierten Vorfällen.
Dazu kommen unbeabsichtigt offengelegte Systeme: GitGuardian entdeckte 2025 tausende exponierte selbst gehostete GitLab-Instanzen und Docker-Registries. Deren Prüfung förderte 80.000 Zugangsdaten zutage, von denen 10.000 noch gültig waren. Besonders auffällig waren Docker-Images: 18 Prozent der untersuchten Images enthielten Geheimnisse, 15 Prozent davon waren gültig – bei GitLab-Repositories lagen beide Werte bei 12 Prozent.
Das hartnäckigste Problem ist die Behebung. GitGuardian prüfte 2022 als gültig bestätigte Secrets erneut und stellte fest, dass 64 Prozent vier Jahre später noch immer ausnutzbar sind. Rotation und Widerruf sind in den meisten Organisationen weder Routine noch automatisiert; in über Build-Systeme, CI-Variablen, Container-Images und Anbieterintegrationen verteilte Zugangsdaten lassen sich kaum austauschen, ohne den Produktivbetrieb zu stören.
Seltene Einblicke lieferte der Lieferkettenangriff Shai-Hulud 2: Auf 6.943 Systemen identifizierte GitGuardian 294.842 Vorkommen von Geheimnissen, die 33.185 eindeutigen Secrets entsprachen. Jedes aktive Geheimnis tauchte im Schnitt an acht verschiedenen Stellen desselben Rechners auf – in .env-Dateien, Shell-Verläufen, IDE-Konfigurationen, zwischengespeicherten Tokens und Build-Artefakten. Bemerkenswert: 59 Prozent der kompromittierten Maschinen waren CI/CD-Runner, keine persönlichen Laptops. Der jüngere LiteLLM-Angriff zeigte dasselbe Muster, wobei kompromittierte Pakete SSH-Schlüssel, Cloud-Zugangsdaten und API-Tokens abgriffen.
Auch das Model Context Protocol (MCP) eröffnet eine neue Klasse von Lecks: In MCP-Konfigurationsdateien auf öffentlichem GitHub fand GitGuardian 24.008 eindeutige Secrets, 2.117 davon verifiziert gültig. Als Lösung empfiehlt der Report, langlebige statische Zugangsdaten so weit wie möglich abzuschaffen, kurzlebige identitätsbasierte Zugriffe einzuführen, Secrets-Vaulting zum Standard zu machen und jede Maschinenidentität – Dienstkonto, CI-Job, KI-Agent – als verwaltete Identität mit Lebenszyklus zu behandeln.
