令人震惊的愚蠢行为：CISA秘密凭证被发现于公共GitHub仓库

Ars Technica

Ars Technica2026年5月19日

令人震惊的愚蠢行为：CISA秘密凭证被发现于公共GitHub仓库

4.5Score

TL;DR · AI 摘要

关键基础设施网络安全局(CISA)将凭证存储在公共GitHub仓库中，暴露了其安全实践的严重缺陷。

核心要点

CISA安全凭证被发现在公共GitHub仓库中，这是其保护国家关键基础设施职责的严重失败。
暴露的凭证允许访问CISA的电子邮件和内部系统，增加了被广泛攻击的风险。
这次事件暴露了政府机构在基本安全措施执行上的失败，损害了其公信力。

结构提纲

按章节快速跳转。

§事件概述
关键基础设施网络安全局(CISA)将其凭证存储在公共GitHub仓库中，被安全研究人员发现。
§安全漏洞详情
存储的凭证允许访问CISA的电子邮件系统(Google Workspace)和内部服务如Confluence。
§影响与后果
此次暴露增加了CISA系统被攻击的风险，引发了对政府机构安全实践的严重质疑。

思维导图

用一张图看清主题之间的关系。

查看大纲文本（无障碍 / 无 JS 友好）

CISA安全凭证泄露事件
- 安全漏洞
  - 公共GitHub仓库
  - Google Workspace凭证
  - Confluence访问权限
- 影响
  - 系统安全风险
  - 公信力损害

金句 / Highlights

值得收藏与分享的关键句。

负责保护国家关键基础设施的美国机构找到了确保灾难性失败的创方法：将秘密凭证存储在公共GitHub仓库中。
— 第1段
⬇︎ 下载 PNG 𝕏 分享到 X
这些凭证提供了通过Google Workspace访问CISA电子邮件系统的权限，以及其他内部服务如Confluence的访问权限。
— 第2段
⬇︎ 下载 PNG 𝕏 分享到 X

#CISA#网络安全#GitHub#数据泄露

打开原文

公开 GitHub 仓库中发现秘密 CISA 凭据 - Ars Technica

管理您的同意偏好

如果您是科罗拉多州、康涅狄格州、弗吉尼亚州、犹他州、俄勒冈州、德克萨斯州、蒙大拿州、特拉华州、爱荷华州、内布拉斯加州、新罕布什尔州和新泽西州、田纳西州、明尼苏达州、马里兰州、印第安纳州、肯塔基州或罗德岛州的居民，您有权选择退出定向广告，包括我们"出售"和/或"分享"您的个人信息（"选择退出"）。我们和我们的第三方业务合作伙伴根据我们的隐私政策使用个人信息，为您提供可能感兴趣的广告（"定向广告"）。如果您是加利福尼亚州居民，您也有权在特定情况下限制使用和披露您的敏感个人信息。请注意，您可能需要在您使用的每个网站、移动应用程序、浏览器和设备上选择退出，如果您清除浏览器 cookie，可能需要重复此过程。但是，如果您已创建账户以登录我们的多个网站和/或移动应用程序，我们将尽合理努力将您的选择退出请求应用于每个这些网站和应用程序。◦ 要在此站点上选择退出定向广告：将下面的"允许定向广告"切换开关向左移动，然后按"确认我的选择"◦ 要选择退出其他"销售"，包括列表租赁、数据合作社，并限制使用和披露您的敏感个人信息：请在隐私中心上提供信息并按"提交"。您也可以通过拨打 1-877-241-4999 提交此请求。此信息将不会用于或披露于任何目的，仅用于处理此请求。

必要

[x] 开启

这些 cookie 对于网站运行是必要的，在我们的系统中无法关闭。它们通常仅在您执行相当于请求服务的操作时设置，例如设置您的隐私偏好、登录或填写表单。您可以设置浏览器以阻止或提醒您这些 cookie，但网站的某些部分将无法正常工作。这些 cookie 不存储任何可识别个人信息。

* *

性能

[x] 开启

这些 cookie 允许我们计算访问量和流量来源，以便我们衡量和改进我们网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎，以及访问者如何在网站上移动。这些 cookie 收集的所有信息都是聚合的，因此是匿名的。如果您不允许这些 cookie，我们将不知道您何时访问过我们的网站，也无法监控其性能。

* *

受众测量

[x] 开启

我们使用受众测量 cookie 进行聚合流量测量，并生成对网站正常运行和内容提供至关重要的性能统计信息（例如测量性能、检测导航问题、优化技术性能或人体工程学、估计所需服务器功率和分析内容性能）。这些 cookie 的使用严格限于测量网站的受众。这些 cookie 不允许跟踪其他网站上的导航，并且收集的数据不会与第三方合并或共享。您可以通过将滑块向右关闭来拒绝使用此 cookie。

* *

功能性

[x] 开启

此网站使用功能性 cookie 和服务来记住您的偏好和选择，例如语言偏好、字体大小、区域选择和自定义布局。它们使此网站能够提供增强和个性化的功能。

* *

社交媒体

[x] 关闭

这些 cookie 由我们添加到网站的各种社交媒体服务设置，使您能够与朋友和网络分享我们的内容。它们能够跟踪您在其他网站上的浏览器并构建您的兴趣档案。这可能会影响您在访问的其他网站上看到的内容和消息。如果您不允许这些 cookie，您可能无法使用或看到这些共享工具。

* *

允许销售/定向广告？

[x] 开启

我们可能会为了定向广告的目的将您的个人信息转让或分享给第三方。您可以在我们的隐私通知中了解更多用于此目的的信息。

确认我的选择全部拒绝全部接受

隐私政策

由...提供

跳转到内容 Ars Technica 主页

版块

论坛订阅搜索

论坛订阅

正文

尺寸宽度 * 链接

仅限订阅者

了解更多

固定到故事

主题

HyperLight
日夜模式
深色
系统

[搜索](https://arstechnica.com/search/ "Search")

登录

登录对话框...

登录

GitFlub

惊人的愚蠢展示：秘密CISA凭证在公开GitHub仓库中被发现

SSH密钥、明文密码和其他敏感数据自2025年11月以来一直暴露。

Lee Hutchinson – 2026年5月19日下午6:27|[102](https://arstechnica.com/information-technology/2026/05/in-stunning-display-of-stupid-secret-cisa-credentials-found-in-public-github-repo/#comments "102条评论")

![图片1：一个穿着鲜艳衣服的小丑将笔记本电脑举过头顶。图片2：一个穿着鲜艳衣服的小丑将笔记本电脑举过头顶。 ](https://cdn.arstechnica.net/wp-content/uploads/2026/05/GettyImages-1303783356.jpg)

只有最优秀的人才。摄影：Dzmitry Skazau / Getty

文本设置

正文

尺寸宽度 * 链接

仅限订阅者

了解更多

最小化到导航

安全研究员Brian Krebs带来了消息，美国的网络安全与基础设施局 (CISA) 至少从2025年11月以来，在一个公开的GitHub仓库中暴露了大量明文密码、SSH私钥、令牌和"其他敏感CISA资产"。

现已下线的公开仓库——名字颇具雄心壮志地命名为"Private-CISA"——是由GitGuardian的Guillaume Valadon引起Krebs注意的，Valadon是通过GitGuardian的公开代码扫描得知该仓库存在的。Krebs表示，Valadon在未收到Private-CISA仓库所有者的回应后联系了他。

在给Krebs的电子邮件中，Valadon声称仓库的提交日志显示，GitHub默认的防止提交秘密的保护措施——这些保护措施旨在保护不知情或不熟练的开发者免遭此类愚蠢行为——已被仓库管理员禁用。

Seralys创始人Philippe Caturegli的测试表明这不是玩笑或恶作剧，并且他能够使用Private-CISA仓库中的凭证访问多个亚马逊网络服务GovCloud账户，"具有高级别权限"。

Krebs指出，该仓库似乎由位于弗吉尼亚州的Nightwing管理，这是一家CISA承包商。迄今为止，Nightwing尚未公开评论，而是将问题转回给CISA。

Ars 视频

[《卡利斯托协议》中的灯光设计如何提升恐怖感](https://www.arstechnica.com/video/watch/how-lighting-design-in-the-callisto-protocol-elevates-the-horror)

这并非CISA第一次搞砸——事实上，这甚至不是_今年_的第一次。今年1月，测谎失败的代理CISA局长Madhu Gottumukkala在要求并获得豁免后将敏感政府文件上传至ChatGPT，该豁免免除了禁止CISA人员使用ChatGPT的机构政策。Gottumukkala于2月被免职。

Lee Hutchinson高级技术编辑

Lee是高级技术编辑，负责监督Ars Technica的科技产品、文化、IT和视频版块的故事发展。他是Ars OpenForum的长期成员，在企业存储和安全方面有丰富的背景，居住在休斯顿。

[102条评论](https://arstechnica.com/information-technology/2026/05/in-stunning-display-of-stupid-secret-cisa-credentials-found-in-public-github-repo/#comments "102条评论")

论坛视图

正在加载评论...

[上一篇](https://arstechnica.com/health/2026/05/rfk-jr-forced-to-withdraw-charter-that-opened-cdc-panel-to-anti-vaccine-quacks/ "前往：RFK Jr.被迫撤回允许反疫苗伪专家加入CDC小组的章程")

[下一篇故事](https://arstechnica.com/google/2026/05/googles-synthid-ai-watermarking-tech-is-being-adopted-by-openai-nvidia-and-more/ "前往：Google 的 SynthID AI 水印技术正被 OpenAI、Nvidia 等公司采用")

最受欢迎

![图片5：最受欢迎第一篇文章的列表图片：互联网无法停止观看 Figure AI 的人形机器人处理包裹](https://arstechnica.com/ai/2026/05/the-internet-cant-stop-watching-figure-ais-humanoid-robots-handling-packages/) 1.互联网无法停止观看 Figure AI 的人形机器人处理包裹
2.蜘蛛侠 Noir 最终预告片给我们带来了经典反派
3.因发布特朗普表情包而被监禁的男子赢得 83.5 万美元和解金
4.关于用户调整智能电视软件权利的长期斗争即将进入审判阶段
5.FBI 寻求全美范围内获取车牌摄像头权限，要求"近乎实时数据"

自定义

[](https://arstechnica.com/) Ars Technica 25 多年来一直在从噪音中分离信号。凭借我们在技术艺术和科学方面的独特技术敏锐度和广泛兴趣，Ars 是信息海洋中的可靠来源。毕竟，您不需要了解所有事情，只需要了解重要的信息。

[](https://bsky.app/profile/arstechnica.com)[](https://mastodon.social/@arstechnica)[](https://www.facebook.com/arstechnica)[](https://www.youtube.com/@arstechnica)[](https://www.instagram.com/arstechnica/)

更多来自 Ars

联系我们

联系我们
[与我们合作广告](mailto:adinquiries@condenast.com)
转载

管理偏好设置

登录对话框...

登录