El último reporte de seguridad de GitGuardian revela 28.65 millones de secretos hardcodeados filtrados en repositorios públicos de GitHub durante 2025, marcando otro año de crecimiento explosivo en claves API expuestas, contraseñas y tokens de acceso. La firma de seguridad encontró que el código asistido por IA muestra tasas más altas de exposición de credenciales que el desarrollo tradicional, ya que los equipos integran rápidamente docenas de nuevos servicios de IA—cada uno requiriendo autenticación—en sus flujos de trabajo. Los repositorios internos ahora contienen la mayoría de las credenciales filtradas, a menudo con acceso directo a sistemas de producción.

La explosión del desarrollo de IA ha cambiado fundamentalmente cómo los desarrolladores manejan los secretos. Donde los equipos una vez manejaban un puñado de conexiones de base de datos y servicios en la nube, ahora hacen malabares con credenciales para proveedores de modelos, bases de datos vectoriales, frameworks de agentes, capas de orquestación y sistemas de recuperación. Cada nueva herramienta de IA significa otra clave API que almacenar, compartir e inevitablemente filtrar. El patrón refleja el problema más amplio de velocidad en el desarrollo de IA: los equipos están enviando más rápido de lo que sus prácticas de seguridad pueden escalar.

Mientras que los datos de GitGuardian se enfocan en la exposición de repositorios, el problema real se extiende mucho más allá del código. El reporte muestra credenciales esparciéndose a través de canales de Slack, tickets de Jira y páginas de Confluence mientras los equipos resuelven problemas de integraciones de IA en tiempo real. Las instancias auto-hospedadas de GitLab y los registros de Docker—comunes en la infraestructura de IA—contienen cachés masivos de credenciales que a menudo escapan el escaneo de seguridad estándar. Lo más preocupante: las credenciales expuestas permanecen válidas por años, dando a los atacantes acceso sostenido a sistemas de producción.

Para los desarrolladores construyendo aplicaciones de IA, esta no es solo una historia de seguridad—es una llamada de atención para los flujos de trabajo. La prisa por integrar cada nueva API de IA sin la gestión adecuada de secretos crea deuda técnica que se acumula diariamente. Los equipos necesitan políticas de rotación de credenciales, detección automatizada de secretos en pipelines de CI/CD, y francamente, menos claves API flotando en canales de Slack durante sesiones de debugging nocturnas.