كشفت بيانات حديثة صادرة عن شركة GitGuardian عن وصول عدد بيانات الاعتماد المكشوفة ضمن مستودعات GitHub العامة إلى قرابة 29 مليون سجل خلال عام 2025، محققة زيادة سنوية قدرت بنحو 34%.
وبرزت مفاتيح الوصول الخاصة بخدمات الذكاء الاصطناعي كأسرع الفئات نمواً بمعدل قفز إلى 81% على أساس سنوي، وهو ما يعيد ملف مفاتيح واجهة برمجة التطبيقات والرموز السرية التي يضمنها المطورون أو الأدوات الآلية داخل الكود المصدري إلى صدارة المخاطر التقنية.
وتكمن الخطورة في توفير بيانات الاعتماد المسربة مساراً سهلاً للاختراق أو الاستخدام غير المصرح به، خاصة في ظل استمرار فاعلية هذه المفاتيح لفترات طويلة بعد انكشافها للعلن.
وقد ساهم الاعتماد الواسع على أدوات البرمجة المدعومة بالذكاء الاصطناعي في تسريع وتيرة إنتاج الشيفرات، وزيادة عدد الهويات غير البشرية وبيانات اعتمادها في البيئات العامة والداخلية، حيث سجلت الشيفرات المكتوبة بمساندة هذه التقنيات معدلات تسرب تفوق المتوسط العام.
دور أدوات البرمجة المدعومة بالذكاء الاصطناعي في اتساع نطاق الانكشاف
بلغت نسبة تسرب بيانات الاعتماد في العمليات البرمجية المرتبطة بأداة Claude Code حوالي 3.2%، مقارنة بنسبة 1.5% كخط أساس عام، ويعود هذا التباين إلى تسهيل عملية التطوير لفئات تفتقر للخبرة الأمنية الكافية، بالإضافة إلى تزايد عدد المفاتيح التي تطلبها التطبيقات الحديثة والوكلاء البرمجيون للربط مع الخدمات المختلفة.
كما رصد التقرير مخاطر متصلة ببروتوكول سياق النموذج (MCP)، حيث كشفت ملفات الإعداد الخاصة به عن 24,008 بيانات اعتماد فريدة نتيجة توجيه بعض الوثائق الإرشادية للمستخدمين بإدراجها مباشرة داخل ملفات التهيئة.
فجوات الحوكمة والتحديات الأمنية في البيئات البرمجية الداخلية
انتقلت مخاوف الأمن الرقمي من المستودعات العامة لتشمل البيئات الداخلية، حيث تبين أن المستودعات المغلقة أكثر عرضة لاحتواء بيانات اعتماد مضمنة بواقع 6 مرات مقارنة بالمستودعات العامة. كما نشأت 28% من حوادث الانكشاف ضمن أدوات التعاون والإنتاجية التي تتيح ظهور البيانات أمام فئات واسعة، في ظل فجوة حادة في الاستجابة؛ إذ إن 64% من بيانات الاعتماد المكتشفة في عام 2022 لا تزال فعالة وغير ملغاة حتى عام 2026.
ترتبط 60% من مخالفات السياسات الأمنية ببيانات اعتماد طويلة العمر، رغم توفير منصة GitHub لآليات حماية مثل فحص البيانات الحساسة وحماية الرفع التي تمنع إرسالها للمستودع. ومع ذلك، تواجه هذه الإجراءات تحديات مستمرة مع ظهور فئات جديدة من الرموز والبيانات الناتجة عن التوسع في خدمات الذكاء الاصطناعي خارج المسارات التقليدية، مما يتطلب يقظة أمنية تتجاوز الحلول البرمجية المعتادة.
