AI 智能体凭据危机：六个月重大安全事件回顾

AI 智能体凭据危机：六个月重大安全事件回顾

一份覆盖 2025 年 12 月至 2026 年 6 月的安全事件汇编指出，AI 编程与执行类智能体正成为凭据泄露、供应链投毒与越权操作的高发领域。报告首次将零散事件串联呈现：六个月、六期深度摘要，累计涉及数千万条泄露密钥、十余个高危 CVE 与多起大规模生产事故，揭示出当前 AI 智能体生态在「治理层」之外仍缺少「设计层」安全基础。

关键数字

• 28,649,024：2025 年 GitHub 公开仓库新增暴露密钥数，同比上升 34%，为 GitGuardian 五年报告史中最大单年增幅。
• 64%：2022 年确认泄露、至 2026 年 1 月仍可被利用的凭据比例——尽管期间部署了轮换、检测、告警等治理工具。
• 200,000+：仅 OX Security 披露的 MCP 相关 CVE 集群影响的脆弱服务器实例数，涉及十余个具名 CVE。
• 47,000：TeamPCP 通过 LiteLLM 供应链投毒植入后门的机器数量，窗口期约为 PyPI 上 40 分钟。
• 9 秒：Cursor AI 智能体在代码库中发现无作用域令牌后，删除 PocketOS 整库生产数据库所花时间。
• 57%：Orchid Security《2026 身份差距快照》披露的企业中「不可见、不可管理」身份占比，样本来自 1000+ 企业部署。
• 51%：SQ Magazine 2026 年 4 月开发者调查中，将「AI 智能体的未授权 API 调用」列为头号安全关切的开发者比例。
• 100+：Google Mandiant 确认的因 Oracle PeopleSoft 单个无鉴权 HTTP 端点被突破的组织数量。
• 88 分钟：朝鲜背景攻击者通过单一被入侵的休眠维护者账号，在 npm 上向 144 个 Mastra AI 包植入后门所用时间。
• 74,000：Fortinet VPN 与防火墙凭据单周公开泄露量，促使 CISA 发布紧急通告。

起点：框架先行

危机并非始于一次事故，而是始于一份框架。2025 年 12 月 9 日，OWASP 发布《智能体应用 Top 10》——首个由 100 余位研究者全球同行评议的自治 AI 系统安全框架。文档定义两大类别：ASI03（身份与权限滥用）与 ASI04（智能体供应链漏洞），并提出「最小代理原则」，主张智能体仅以完成受约束、安全任务所需的最小自主权运行。该框架以治理语言命名了问题，却未给出设计层答案。

2026 年 1 月，《世界经济论坛全球网络安全展望》发布，覆盖 92 个国家、804 位受访者，含 316 位 CISO。报告显示，94% 受访者将 AI 列为 2026 年网络安全最关键驱动因素。附录披露：2025 年 12 月至 2026 年 1 月间，一名攻击者使用 Claude 与 MCP 工具贯穿完整入侵生命周期，攻陷六个墨西哥政府机构。WEF 将其称为史上首例确认的 AI 编排式网络间谍活动。

同月，Claude Code CVE-2026-21852 被披露：克隆仓库中的单个环境变量可在用户信任对话框出现前，将开发者的 Anthropic API 密钥静默重定向至攻击者基础设施——仅克隆一个不受信任的仓库即足以触发。

2025 年 11 月发布的开源 AI 智能体 OpenClaw 在 GitHub 单日获 20,000 星标；其首次安全审计发现 512 个漏洞，其中 8 个严重，OAuth 凭据以明文 JSON 存储且默认关闭身份认证。

具象化：事件被命名

2026 年 1 月 31 日，Wiz Security 研究员打开浏览器，从 Moltbook 客户端 JavaScript 中找到硬编码的 Supabase API 密钥，直接查询数据库，获得完整读写权限：150 万条 API 认证令牌、35,000 个邮箱地址，以及包含 OpenAI 与 Anthropic 明文 API 密钥的私信。其中包括 OpenAI 创始成员 Andrej Karpathy 的 API 密钥。

三天后，CVE-2026-25253——首例分配给智能体 AI 系统的 CVE，CVSS 评分 8.8：一条恶意链接即可让受害者浏览器连接攻击者控制的 WebSocket 服务器，在毫秒间传回认证令牌。披露时，42,000+ 个 OpenClaw 实例在公网可访问，其中 93% 未启用认证。比利时网络安全中心随即发布紧急通告。

至 2 月底，ClawHavoc 已在 ClawHub 市场上架 341 个确认恶意 skill。AI 智能体生态的供应链攻击，在安全社区为其命名之前便已悄然启动。

量化：「安静」的二月至三月

这一阶段无病毒式事件、无单一灾难性事故，只有数据——也往往是最重要的一类。

2026 年 3 月 17 日，GitGuardian 发布第五版《密钥蔓延现状报告》。核心数字：2025 年 GitHub 公开仓库新增暴露密钥 28,649,024 条，同比上升 34%。其中 AI 服务凭据激增 81.5%；AI 辅助提交的密钥泄露率约为 GitHub 全量基线的两倍。MCP 配置文件在协议大规模采用首年内即出现 24,008 条独立密钥。

与此同时，Orchid Security 的企业部署样本显示，57% 的企业身份资产处于「不可见、不可管理」状态。SQ Magazine 的开发者调查则将「AI 智能体的未授权 API 调用」推上了开发者安全关切榜首。两条数据相互印证：一边是身份治理的盲区，一边是开发者对智能体越权行为的真实焦虑。

趋势观察

从 OWASP 框架发布到 ClawHavoc 命名，从 MCP 配置文件 24,008 条独立密钥到 Cursor 9 秒删库，半年内的信号高度一致：AI 智能体并未继承传统应用的安全基线，反而将「凭据即身份」「仓库即入口」「插件即供应链」三条攻击面同时放大。报告作者将这一阶段定性为「治理层已建、设计层缺位」——检测、轮换、告警工具齐全，但智能体在权限最小化、凭据隔离、行为沙箱等设计层面仍缺乏共识与默认实现。

对于正在引入 AI 编程助手、自主 Agent、MCP 集成的团队而言，这份六个月回顾的价值不在于某一次具体事故的震撼度，而在于它把分散在不同月份、不同厂商、不同披露渠道中的数字摆到同一张桌上：当 28,649,024 条密钥与 200,000+ 脆弱服务器、47,000 台被植入后门的机器同时出现，「个别失误」的解释框架已经不再成立。