Laporan Secrets Sprawl 2026: 9 Pelajaran Penting untuk CISO di Era AI
Fenomena secrets sprawl terus meluas dengan kecepatan yang belum pernah terjadi sebelumnya. Menurut laporan GitGuardian State of Secrets Sprawl 2026, sebanyak 29 juta kredensial tersembunyi bocor pada tahun 2025, meningkat 34% dibandingkan tahun sebelumnya. Lonjakan ini menjadi rekor kenaikan tahunan terbesar yang pernah tercatat. Laporan ini menyoroti bagaimana pertumbuhan kecerdasan buatan (AI) dan permasalahan dalam proses remediasi memperburuk situasi, memperluas permukaan serangan yang harus dihadapi organisasi saat ini.
Tren Utama dalam Kebocoran Secrets di 2025
Analisis mendalam terhadap miliaran commit di GitHub publik menemukan tiga tren utama: AI mengubah pola bocornya kredensial, sistem internal jauh lebih rentan dari perkiraan, dan proses remediasi masih menjadi tantangan terbesar di industri keamanan.
9 Pelajaran Strategis untuk CISO dan Tim Keamanan
- Jumlah secrets bocor tumbuh lebih cepat dari jumlah pengembang
Sejak 2021, secrets bocor meningkat 152%, sedangkan populasi pengembang publik GitHub hanya naik 98%. Pertumbuhan pengembang dan penggunaan kode yang dibantu AI menyebabkan kredensial tersebar lebih luas, sementara kemampuan deteksi tidak mampu mengimbangi laju ini. - Layanan AI menyebabkan kebocoran 81% lebih banyak
GitGuardian mencatat lebih dari 1,2 juta secrets terkait layanan AI bocor di 2025, naik 81% dari tahun sebelumnya. Kategori kebocoran tercepat sebagian besar terkait AI, mulai dari API retrieval seperti Brave Search (+1.255%), alat orkestrasi Firecrawl (+796%), hingga backend terkelola seperti Supabase (+992%). Setiap integrasi AI baru menambah identitas mesin dan memperluas permukaan serangan, menuntut strategi keamanan secrets yang matang. - Repositori internal 6 kali lebih rawan bocor dibanding publik
Meski GitHub publik mendapat perhatian luas, repositori internal menyimpan kredensial bernilai tinggi. Sebanyak 32,2% repositori internal mengandung secrets tersembunyi, jauh lebih tinggi dibanding 5,6% di repositori publik. Ini termasuk token CI/CD, kredensial cloud, dan password database yang menjadi target utama serangan setelah penetrasi awal. - 28% kebocoran terjadi di luar kode sumber
28% insiden bocoran berasal dari alat kolaborasi seperti Slack, Jira, dan Confluence. Lebih berbahaya, 56,7% dari secrets yang bocor di alat kolaborasi dikategorikan kritikal, lebih tinggi dibanding 43,7% yang ditemukan hanya di kode. Tim sering berbagi kredensial selama troubleshooting atau onboarding, sehingga jika hanya memindai kode saja, risiko signifikan terlewat. - Instalasi GitLab dan registri Docker self-hosted bocorkan secrets 3-4 kali lebih banyak
GitGuardian menemukan ribuan instance GitLab dan Docker registri self-hosted yang tidak sengaja terekspos, mengungkap 80.000 kredensial dengan 10.000 masih aktif. Secrets dalam Docker image lebih berisiko karena 18% dari image mengandung secrets dan 15% valid, lebih tinggi dari repositori GitLab yang hanya 12%. - 64% secrets bocor tahun 2022 masih valid hingga kini
Deteksi bukan berarti remediasi. Kembali dites pada 2026, 64% secrets valid dari 2022 masih bisa dieksploitasi. Ini menandakan rotasi dan pencabutan kredensial belum menjadi praktik rutin atau otomatis di banyak organisasi, sehingga akses berbahaya bertahan lama. - Endpoint pengembang jadi lapisan agregasi kredensial baru
Serangan rantai pasokan Shai-Hulud 2 mengungkap rahasia tersebar di berbagai lokasi di mesin pengembang, termasuk file .env, riwayat shell, konfigurasi IDE, dan cache token. Rata-rata satu secrets muncul di delapan lokasi berbeda. Uniknya, 59% mesin yang terinfeksi adalah runner CI/CD, bukan laptop pribadi, menjadikan ini masalah organisasi, bukan sekadar masalah individu. - Server Model Context Protocol (MCP) bocorkan lebih dari 24.000 secrets di tahun pertama
MCP memperkaya AI dengan menghubungkan ke alat dan data, tapi juga membuka celah baru kebocoran kredensial. Tahun 2025, ditemukan 24.008 secrets di konfigurasi MCP di GitHub publik, dengan 2.117 valid. Saat adopsi AI agentik meningkat, praktik menaruh kredensial di file konfigurasi, flag startup, dan JSON lokal semakin umum, menuntut kontrol keamanan yang berkembang cepat. - Peralihan dari deteksi secrets ke tata kelola identitas non-manusia
Industri perlu menjawab tiga pertanyaan besar: identitas non-manusia apa yang ada, siapa pemiliknya, dan apa aksesnya? Organisasi harus mengadopsi tata kelola berkelanjutan, menghilangkan kredensial statis jangka panjang, menggunakan akses identitas berbasis waktu, menerapkan vault secrets sebagai workflow default, dan memperlakukan setiap akun layanan, pekerjaan CI, dan agen AI sebagai identitas yang dikelola secara penuh.
Kesimpulan
Secrets sprawl tidak menunjukkan tanda melambat. Sebaliknya, ia bertumbuh seiring adopsi AI, alat produktivitas pengembang, dan model pengiriman perangkat lunak yang terdistribusi. Model lama yang hanya mengandalkan pemindaian repositori publik sudah tidak cukup. Tim keamanan harus memiliki visibilitas penuh ke sistem internal, alat kolaborasi, registri container, dan endpoint pengembang. Mereka juga perlu alur kerja remediasi yang dapat memutar kredensial tanpa mengganggu produksi. Terpenting, rahasia tidak boleh dipandang sebagai insiden terpisah, melainkan bagian dari program tata kelola identitas non-manusia yang menyeluruh.
Permukaan serangan telah berubah drastis. Pertanyaannya adalah apakah program keamanan juga akan beradaptasi mengikuti perubahan ini.
Analisis Redaksi
Menurut pandangan redaksi, secrets sprawl yang semakin meluas ini merupakan cermin dari tantangan fundamental dalam dunia keamanan siber modern, terutama di era AI dan DevOps yang terus berkembang. Peningkatan eksposur di repositori internal dan alat kolaborasi mengindikasikan bahwa organisasi masih terlalu bergantung pada asumsi keamanan tradisional, seperti "security through obscurity", yang jelas sudah usang. Kegagalan dalam rotasi dan pencabutan kredensial secara tepat waktu menunjukkan bahwa banyak organisasi belum memiliki proses remediasi yang matang dan terotomatisasi, membuka celah akses jangka panjang bagi penyerang.
Lebih jauh, fakta bahwa endpoint pengembang dan infrastruktur build menjadi titik kerentanan utama menuntut perhatian serius dari tim keamanan untuk mengintegrasikan pendekatan pengelolaan identitas non-manusia yang menyeluruh. Dengan adopsi AI agentik yang kian meluas, pengelolaan kredensial harus bertransformasi menjadi tata kelola berkelanjutan dan berbasis siklus hidup identitas, bukan hanya deteksi dan reaktifitas. Ini bukan sekadar tantangan teknis, tapi juga perubahan budaya dan proses organisasi.
Masa depan keamanan siber perusahaan akan sangat bergantung pada kemampuan mereka menyesuaikan diri dengan lanskap ancaman yang terus berubah ini, terutama dalam mengelola dan mengamankan identitas mesin dan AI yang semakin dominan. Pembaca disarankan untuk terus mengikuti perkembangan dan mengadopsi praktik keamanan terbaru untuk mengurangi risiko kebocoran yang semakin kompleks.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
