AI编码代理可能通过明文URL、DNS查询、POST请求体和HTTP头部泄露密钥。大多数安全工具只能检测URL泄露，其他渠道防范较难。建议使用代理流量、审计权限、限制域名白名单，并关注非常规泄露通道。

网络安全研究人员发现，Laravel框架的APP_KEY密钥泄露使数百个应用面临远程代码执行风险。攻击者可利用反序列化漏洞，通过泄露的密钥在服务器上执行任意代码。GitGuardian报告称，63%的泄露事件源自.env文件，且许多密钥与敏感信息同时暴露。开发者需及时更换密钥并加强监控，以防止再次泄露。

此次针对GitHub Action 'tj-actions/changed-files' 的供应链攻击最初针对Coinbase，随后波及218个仓库，导致多个平台密钥泄露。攻击者采用多种策略掩盖踪迹，最终可能意在经济利益。GitHub已修复相关漏洞。