مع تزايد شعبية مساعدي الذكاء الاصطناعي، لاحظ المطورون ارتفاعًا في حالات تسريب البيانات الحساسة إلى مستودعات Git العامة، وغالبًا ما تكون هذه البيانات من بين المعلومات التي تخزنها أدوات الذكاء الاصطناعي في شجرة عمل المشروع. تقوم مساعدات الذكاء الاصطناعي مثل Claude Code وCursor وContinue وAider وOpenAI Codex وCopilot وSourcegraph Cody وAmazon Q بإنشاء ملفات تكوين محلية ومجلدات في الدليل الجذر للمشروع، والتي يمكنها تخزين بيانات سجل العمليات وبيانات السياق، من بين أمور أخرى.
قد تحتوي الملفات التي تحفظها مساعدات الذكاء الاصطناعي على مفاتيح الوصول إلى واجهة برمجة التطبيقات (API)، وسلاسل اتصال قواعد البيانات (DBMS)، وروابط لموارد داخلية، وبيانات اعتماد للاتصال بالبيئات السحابية. تحصل مساعدات الذكاء الاصطناعي على هذه البيانات أثناء تنفيذ التعليمات، أو بعد العمل على الإعدادات المحلية، أو في سياق متعلق بالمشروع. بالنسبة للمطورين، لا يكون تراكم هذه البيانات في تسلسل ملفات المشروع واضحًا، لذا ينسى الكثيرون إضافة الدلائل التي أنشأتها مساعدات الذكاء الاصطناعي إلى ملف .gitignore، وبعد نشر التغييرات، نقلها إلى مستودع Git العام.
طُوِّرت أداة claudleak للكشف عن مثل هذه التسريبات في مستودعات GitHub العامة. كشف فحص تجريبي لـ GitHub أن حوالي 2.4% من المستودعات التي تحتوي على مجلدات فرعية تتضمن إعدادات مساعد الذكاء الاصطناعي تحتوي على مفاتيح أو بيانات اعتماد صالحة، وقد تم التحقق من صحتها من خلال فحص منفصل. واجه مطور الأداة مشكلة عندما لاحظ وجود ملف باسم ".claude/settings.local.json" في مستودعه، والذي يحتوي على مفاتيح الوصول وكلمات المرور المُمرَّرة عبر متغيرات البيئة.
يُنصح المطورون الذين يستخدمون مساعدي الذكاء الاصطناعي بإضافة الدلائل .claude/ و .cursor/ و .continue/ و .copilot/ و .aider/ إلى ملف .gitignore وتكوينها ليتم تجاهلها عبر مرشح عام باستخدام الأمر "git config --global core.excludesfile file_with_list".
المصدر: opennet.ru
