Le dernier rapport de sécurité de GitGuardian révèle 28,65 millions de secrets codés en dur qui ont fuité dans les dépôts GitHub publics en 2025, marquant une autre année de croissance explosive des clés API exposées, mots de passe et jetons d'accès. L'entreprise de sécurité a constaté que le code assisté par IA présente des taux d'exposition d'identifiants plus élevés que le développement traditionnel, alors que les équipes intègrent rapidement des dizaines de nouveaux services IA—chacun nécessitant une authentification—dans leurs flux de travail. Les dépôts internes contiennent maintenant la majorité des identifiants divulgués, souvent avec un accès direct aux systèmes de production.
L'explosion du développement IA a fondamentalement changé la façon dont les développeurs gèrent les secrets. Là où les équipes géraient auparavant une poignée de connexions de base de données et de services cloud, elles jonglent maintenant avec les identifiants pour les fournisseurs de modèles, les bases de données vectorielles, les frameworks d'agents, les couches d'orchestration et les systèmes de récupération. Chaque nouvel outil IA signifie une autre clé API à stocker, partager et inévitablement divulguer. Le modèle reflète le problème de vélocité plus large dans le développement IA : les équipes livrent plus vite que leurs pratiques de sécurité ne peuvent évoluer.
Bien que les données de GitGuardian se concentrent sur l'exposition des dépôts, le vrai problème s'étend bien au-delà du code. Le rapport montre des identifiants se propageant dans les canaux Slack, les tickets Jira et les pages Confluence alors que les équipes dépannent les intégrations IA en temps réel. Les instances GitLab auto-hébergées et les registres Docker—courants dans l'infrastructure IA—contiennent des caches d'identifiants massifs qui échappent souvent au scanning de sécurité standard. Le plus préoccupant : les identifiants exposés restent valides pendant des années, donnant aux attaquants un accès soutenu aux systèmes de production.
Pour les développeurs qui construisent des applications IA, ce n'est pas seulement une histoire de sécurité—c'est un signal d'alarme pour les flux de travail. La ruée vers l'intégration de chaque nouvelle API IA sans gestion appropriée des secrets crée une dette technique qui se compose quotidiennement. Les équipes ont besoin de politiques de rotation d'identifiants, de détection automatisée de secrets dans les pipelines CI/CD, et franchement, de moins de clés API qui traînent dans les canaux Slack pendant les sessions de débogage nocturnes.