今年5月中旬，美国网络安全与基础设施安全局（CISA）遭遇了一起堪称近年来最严重的政府数据泄露事件之一。CISA一名承包商在GitHub上维护了一个名为"Private-CISA"的公共代码仓库，其中暴露了多个具有极高权限的AWS GovCloud账户凭证以及大量CISA内部系统的访问密钥。这一事件立即引发了安全行业的强烈关注，也让人们再次审视政府机构在密钥管理和内部安全流程上的漏洞。

发现这一问题的是安全公司GitGuardian的研究人员Guillaume Valadon。他的团队长期监控GitHub等公开代码仓库中的敏感信息泄露，并在发现问题后主动联系了CISA。Valadon表示，这次泄露堪称安全卫生状况不佳的教科书级案例：从该承包商的GitHub提交记录来看，他甚至主动禁用了GitHub平台上默认开启的"禁止在公开代码中发布密钥"功能。Valadon在邮件中写道："CSV文件中存储明文密码、备份文件直接提交到git、明确执行命令禁用GitHub的秘密检测功能——说真的，在深入分析内容之前，我一度以为这些都是假的。这确实是我职业生涯中见过的最严重的泄露。"

安全咨询公司Seralys的创始人Philippe Caturegli对泄露的凭证进行了验证测试，确认这些AWS密钥确实仍然有效，且可以对三个AWS GovCloud账户进行高权限访问。他特别指出，该仓库还暴露了CISA内部"artifactory"（软件包仓库）的明文凭证，这是构建软件的代码包存储库，对恶意攻击者而言是一个极具价值的横向移动目标。Caturegli形容道："这是放置后门的绝佳位置——在他们的软件包中植入后门，每次他们构建新东西时，后门就会随之扩散到各处。"

关于泄露的原因，Caturegli推测这名承包商可能是将GitHub仓库当作工作同步工具或个人"剪贴板"使用，因为从提交记录来看，他从2025年11月开始就定期向这个仓库提交内容。Caturegli评论称："我相信问题在于这名CISA承包商试图用这个GitHub仓库来同步工作笔记本和家用电脑之间的文件。"值得注意的是，尽管CISA在收到通知后迅速关闭了这个GitHub仓库，但暴露的AWS密钥在仓库下线后仍然持续有效长达48小时，这一细节进一步暴露了CISA在密钥轮换和撤销机制上的迟钝。

更令人担忧的是，泄露的凭证中包含了大量使用"平台名+当前年份"这种极易猜测模式的密码，例如"Amazon2026"或"GitHub2026"。Caturegli指出，即使这些凭证从未对外暴露，这种密码策略对任何组织而言都构成严重安全威胁，因为攻击者通常会在获得初始访问权限后，利用这些凭证扩大攻击范围。

从更深层来看，这一事件反映出的是系统性的安全管理缺失而非个别失误。GitHub本身提供了密钥泄露检测和阻止功能，但该承包商不仅没有利用这些防护措施，反而主动将其禁用；CISA作为美国最重要的网络安全机构，却没有建立针对承包商代码仓库的监控机制；同时在特朗普政府时期，CISA已流失了近三分之一的员工，导致机构在监督和审计能力上严重不足。

CISA发言人回应称"目前没有证据表明此次事件导致任何敏感数据被泄露"，但这一说法在密钥持续有效48小时的事实面前显得苍白无力。

参考来源：

• Krebs on Security报道：https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/