2025年11月,网络安全公司Flare对Docker Hub进行了全面扫描,结果令人震惊地发现高达10456个容器镜像存在严重敏感信息泄露问题。这些泄露的镜像不仅暴露了生产系统的凭证信息,还包含了数据库密码以及来自OpenAI、HuggingFace等知名AI平台的密钥。其中,有4000个镜像泄露了AI访问令牌,风险等级极高。
调查数据显示,42%的泄露镜像中包含了五个以上的敏感值,这意味着这些容器镜像极有可能被黑客利用,从而入侵云环境和支付系统。这一威胁不容小觑,因为研究已经确认,共有101家公司受到了影响,这些公司涵盖了金融、软件开发等多个关键领域,甚至包括一家颇具规模的财富500强企业。
造成这一严重问题的根本原因在于,许多开发者在构建容器镜像时,未能妥善处理.ENV文件和硬编码的密钥信息。更为令人担忧的是,高达75%的泄露密钥并未得到及时撤销,这进一步加剧了安全风险。面对这一严峻形势,Flare公司紧急呼吁业界加强机密管理措施,并大力推广自动化扫描技术,以防止类似事件再次发生。