لم يعد الحديث عن “تسرب الأسرار” مجرد تحذير نظري، بل أصبح واقعًا متسارعًا يهدد البنية التحتية الرقمية للشركات والمؤسسات. تقرير State of Secrets Sprawl 2026 الصادر عن شركة GitGuardian يقدم صورة مقلقة عن حجم المشكلة، حيث كشف عن وجود أكثر من 29 مليون سرٍّ جديد تم تسريبه في عام 2025 وحده، بزيادة بلغت 34% عن العام السابق، وهي أكبر قفزة سنوية مسجلة حتى الآن.
تسارع غير مسبوق بفعل الذكاء الاصطناعي
أحد أبرز ملامح التقرير هو الدور المتنامي للذكاء الاصطناعي في مضاعفة حجم التسريبات. فقد ارتبطت 81% من الزيادات السنوية بتسريبات تخص خدمات الذكاء الاصطناعي، بما في ذلك مفاتيح واجهات برمجية للبنية التحتية الخاصة بالنماذج اللغوية الكبيرة (LLM). أدوات مثل Brave Search وFirecrawl وSupabase ساهمت في توسيع سطح الهجوم بشكل غير مسبوق، إذ إن كل تكامل جديد مع الذكاء الاصطناعي يضيف هوية رقمية جديدة، ما يجعل إدارة الأسرار أكثر تعقيدًا.
المستودعات الداخلية: الخطر الأكبر
رغم أن الأنظار غالبًا ما تتجه إلى المستودعات العامة على GitHub، إلا أن التقرير يوضح أن المستودعات الداخلية أكثر عرضة للتسريب بستة أضعاف. ما يقارب 32.2% من هذه المستودعات تحتوي على أسرار حساسة مثل رموز الوصول إلى السحابة وكلمات مرور قواعد البيانات. هذه ليست مجرد مفاتيح اختبار، بل أصول حيوية يستهدفها المهاجمون فور اختراقهم الأنظمة.
التسريبات خارج الشيفرة: الوجه الخفي للأزمة
لا تقتصر المشكلة على الشيفرات البرمجية، إذ أظهر التقرير أن 28% من التسريبات حدثت عبر أدوات التعاون مثل Slack وJira وConfluence. الأخطر أن أكثر من نصف هذه الأسرار المصنفة خارج الشيفرة وُصفت بأنها “حرجة”، ما يعني أن مشاركة بيانات الاعتماد أثناء الاستجابة للحوادث أو عمليات الإعداد قد تتحول إلى ثغرة أمنية قاتلة.
فجوة المعالجة: الأسرار القديمة ما زالت صالحة
رغم جهود الكشف، فإن المعالجة تبقى الحلقة الأضعف. فقد وجد التقرير أن 64% من الأسرار التي تم تسريبها عام 2022 لا تزال صالحة حتى اليوم. هذا يعكس غياب آليات دورية وفعالة لتدوير المفاتيح وإبطالها، حيث تخشى فرق التطوير من تعطيل الإنتاج عند محاولة استبدال بيانات الاعتماد المدمجة في أنظمة البناء أو الصور الحاوية.
نقاط ضعف جديدة في البنية التحتية
التقرير أشار أيضًا إلى أن منصات مثل GitLab المستضاف ذاتيًا وسجلات Docker تكشف الأسرار بمعدل أعلى بثلاثة إلى أربعة أضعاف من GitHub العام. كما أن هجمات سلسلة التوريد الأخيرة مثل Shai-Hulud 2 وLiteLLM أبرزت خطورة تجميع الأسرار على أجهزة المطورين، حيث وُجد أن كل سر حي يظهر في ثمانية مواقع مختلفة داخل الجهاز الواحد، من ملفات البيئة إلى سجلات الأوامر.
بروتوكولات جديدة تزيد التعقيد
مع ظهور بروتوكول Model Context Protocol (MCP)، الذي يربط أنظمة الذكاء الاصطناعي بمصادر البيانات، ظهرت فئة جديدة من التسريبات. فقد تم العثور على أكثر من 24 ألف سر في ملفات الإعداد الخاصة بـ MCP خلال عامه الأول، وهو مؤشر على أن توسع بيئة الوكلاء الذكيين يتجاوز قدرة الضوابط الأمنية التقليدية على الاستجابة.
من الكشف إلى الحوكمة
الخلاصة التي يطرحها التقرير هي أن الاكتفاء بالكشف لم يعد كافيًا. المطلوب هو الانتقال إلى حوكمة الهويات غير البشرية (NHI)، بحيث تُدار كل هوية رقمية – سواء كانت حساب خدمة أو وكيل ذكاء اصطناعي – ضمن دورة حياة واضحة، مع اعتماد بيانات اعتماد قصيرة الأجل وتخزين الأسرار في خزائن آمنة كجزء من سير العمل الافتراضي للمطورين.
