#行业资讯 Apache 服务器项目开发者提交代码时不慎泄露 GitHub 令牌，事后开发者解释称这是人为失误，并非使用 AI 辅助提交造成的问题。另外 GitHub 有个机制就是检测凭证泄露，如果检测到 GitHub 令牌就会直接将令牌吊销，接着还会发邮件通知开发者。查看详情：https://ourl.co/112573

知名开源项目 Apache HTTP Server (httpd) 项目上周发布的代码变更引起诸多网友讨论，这次代码变更只是小更新，真正引起关注的是开发者不慎暴露敏感环境变量导致凭据泄露。

经常使用 AI 进行开发的用户可能会想着这肯定是开发者使用 AI 编码时出现的失误，不过后面开发者也解释这次暴露凭据并非 AI 所为，而是开发者自己的操作失误引发的，发现问题后暴露的敏感凭据已被吊销。

这些环境变量里涉及部分个人信息和路径，不过最严重的是 GitHub 令牌，这个令牌可以用来直接向项目提交各种代码，因此如果泄露可能会造成严重的安全问题。

但 GitHub 已经想到有开发者会在提交代码时泄露令牌，所以 GitHub 有个机制：当检测到开发者提交的代码里包含敏感凭据时，就直接发邮件通知开发者立即进行更换。

如果检测到包含 GitHub 的敏感凭据，GitHub 会直接将这个令牌吊销，等到开发者看到邮件或者发现自己的令牌失效时，可以去检查原因并重新生成新令牌，这可以显著降低令牌泄露带来的安全问题。

事后开发者在评论中解释称：

看起来是我用 svn commit -m 时消息里的内容被解释了...(似乎是 set 被解释为 bash/zsh 的 set)，所有相关的令牌 (均为只读权限)。

顺便说一句，这不是 AI 辅助提交的，只是因为改动太简单，我偷懒了，抱歉。