代码智能体正在改变开发生产力,但它们也带来了一个行业反应速度跟不上恶化速度的安全问题。
GitGuardian 于 2026 年 3 月发布的年度报告显示,2025 年在 GitHub 公开提交中新增了 2865 万个硬编码机密——同比增长 34%,创下最大增幅记录。与 AI 服务相关的机密增长了 81%,增长最快的十个检测器中有八个与 AI 服务相关。
最令人警惕的信号是:经 Claude Code 辅助的提交显示出 3.2% 的泄露率,是 GitHub 所有提交 1.5% 基线的两倍以上。
问题并非理论上的
多项独立研究证实,代码智能体导致的凭证泄露是一个真实且可量化的问题:
-
Lakera 扫描了 npm 注册表,在
.claude/settings.local.json文件中发现了 33 个包含有效凭证的包。Claude Code 将已批准的终端命令(包括前置的 API 密钥)存储在此文件中,而 npm 默认在发布包时包含隐藏文件夹。大约每 13 个发送到 npm 的配置文件中就有 1 个暴露了敏感数据。 -
Check Point Research 发现了 Claude Code 中的严重漏洞(CVE-2025-59536、CVE-2026-21852),允许通过恶意项目文件利用 Hook 系统、MCP 服务器和环境变量实现远程代码执行和 API 密钥窃取。
-
Truffle Security 在用于训练 DeepSeek 等 LLM 的 Common Crawl 训练数据中发现了约 12,000 个有效的 API 密钥和密码。这意味着模型不仅促成了泄露——它们本身就是从已经包含机密的数据中学习的。
-
Veracode 报告称,45% 的 AI 生成代码包含安全漏洞,其中 Java 的失败率高达 70%。
责任在谁?
答案并不简单。GitGuardian 指出,“泄露仍然通过人类工作流程发生”——96.8% 的 Claude Code 辅助提交不包含机密。智能体不是机密的源头,而是当开发者在终端或 .env 文件中提供凭证时传播机密的载体。
在社交媒体上,讨论反映了这种模糊性。Reddit 上的一条帖子总结道:“把生产环境的 API 密钥放在本地的 .env 文件中本身就不是安全的。那不是 Claude Code 的问题。”
但问题的规模是真实的。2800 万个机密不仅仅是”人为错误”。它们表明代码智能体的工作流程需要默认提供更好的保护。
Rafter 与工具生态
引发这项研究的 YouTube 视频提到了 Rafter,一个用于 AI 生成代码的安全扫描工具。Rafter(rafter.so)将开源分析器(Betterleaks、Trivy、Bandit)与专有 AI 审查层相结合。然而,目前没有独立审计验证其有效性——在获得外部验证之前,其声明的可信度较低。
其他更成熟的工具(Snyk、Semgrep、CodeQL、GitHub Advanced Security)提供了类似的保护,且拥有更长的验证历史。
该怎么做
责任是共担的。Anthropic 发布了 API 密钥最佳实践指南,并修补了 Check Point 报告的漏洞。但最终解决方案在于开发者的工作流程:
- 绝不要把 API 密钥放在本地文件中。 使用环境变量或密钥管理器。
- 在接受智能体的每条建议前仔细检查。 智能体不知道什么是机密。
- 添加 .npmignore 或 .gitignore 来排除
.claude/等智能体自动创建的文件夹。 - 使用带机密检测器的 pre-commit hooks(GitGuardian、truffleHog、Gitleaks)。
- 把 AI 生成的代码当作第三方代码对待。 在部署前扫描它。
代码智能体不会消失——也不该消失。但它们的大规模采用要求开发者以同样的速度更新其安全实践。
来源:GitGuardian State of Secrets Sprawl 2026 · Check Point Research — Claude Code CVEs · Truffle Security — 12,000 Live Secrets · TechTalks — Claude Code npm leak · Veracode GenAI Report