O mais recente relatório de segurança da GitGuardian revela 28,65 milhões de segredos hardcoded vazados em repositórios públicos do GitHub durante 2025, marcando outro ano de crescimento explosivo em chaves API expostas, senhas e tokens de acesso. A empresa de segurança descobriu que código assistido por IA mostra taxas mais altas de exposição de credenciais que desenvolvimento tradicional, já que equipes integram rapidamente dezenas de novos serviços de IA—cada um requerendo autenticação—em seus fluxos de trabalho. Repositórios internos agora contêm a maioria das credenciais vazadas, frequentemente com acesso direto a sistemas de produção.
A explosão do desenvolvimento de IA mudou fundamentalmente como desenvolvedores lidam com segredos. Onde equipes antes gerenciavam um punhado de conexões de banco de dados e serviços em nuvem, agora fazem malabarismos com credenciais para provedores de modelos, bancos de dados vetoriais, frameworks de agentes, camadas de orquestração e sistemas de recuperação. Cada nova ferramenta de IA significa outra chave API para armazenar, compartilhar e inevitavelmente vazar. O padrão espelha o problema mais amplo de velocidade no desenvolvimento de IA: equipes estão enviando mais rápido do que suas práticas de segurança conseguem escalar.
Enquanto os dados da GitGuardian focam na exposição de repositórios, o problema real se estende muito além do código. O relatório mostra credenciais se espalhando através de canais do Slack, tickets do Jira e páginas do Confluence enquanto equipes fazem troubleshooting de integrações de IA em tempo real. Instâncias auto-hospedadas do GitLab e registros do Docker—comuns na infraestrutura de IA—contêm caches massivos de credenciais que frequentemente escapam do scanning de segurança padrão. Mais preocupante: credenciais expostas permanecem válidas por anos, dando a atacantes acesso sustentado a sistemas de produção.
Para desenvolvedores construindo aplicações de IA, esta não é apenas uma história de segurança—é um alerta para fluxos de trabalho. A corrida para integrar cada nova API de IA sem gerenciamento adequado de segredos cria débito técnico que se acumula diariamente. Equipes precisam de políticas de rotação de credenciais, detecção automatizada de segredos em pipelines de CI/CD, e francamente, menos chaves API flutuando em canais do Slack durante sessões de debugging noturnas.