美国负责保卫国家网络安全的机构，把自己的数字钥匙放在了任何人都能看到的地方。

这不是比喻。根据安全博主克雷布斯的报道，美国网络安全和基础设施安全局CISA将其云存储账户的密码、密钥和访问令牌，以明文形式存储在一个公开的GitHub代码库中，时间可能长达约六个月。该问题据报道已于上周末得到处理。

这个代码库的名字，是"Private-CISA"。

泄露的不是普通密码

如果这只是某个实习生把无关紧要的测试文件传错了地方，大概不值得大书特书。

但泄露的内容远不止于此。据克雷布斯报道，其中一份文件名为"importantAWStokens"，包含三台亚马逊AWS GovCloud政府云服务器的管理员凭证。另一份名为"
AWS-Workspace-Firefox-Passwords.csv"的文件，则列出了数十个CISA内部系统的明文用户名和密码，其中包括一个缩写为"LZ-DSO"的系统，据分析应为"Landing Zone DevSecOps"，即该机构的安全代码开发环境。

换句话说，泄露的正是那些本应用来保护其他一切的东西。

发现这一问题的是GitGuardian公司的Guillaume Valadon。这家公司的业务就是专门扫描GitHub上意外暴露的机密信息，Valadon本人每天打交道的都是这类安全事故。即便如此，他告诉克雷布斯，这是"我职业生涯中见过的最严重的泄密事件"。

这句评价的分量，需要一点背景来理解。GitHub是全球最大的代码托管平台，每天都有大量开发者意外将API密钥、数据库密码或访问令牌提交到公开仓库。GitGuardian的研究人员在2024年检测到超过1200万个此类机密泄露事件，平均每天超过3万个。一个专门在这个领域工作的专家，把CISA的案例评为职业生涯之最，说明这次事故的严重程度确实超出了常规范畴。

目前，该代码库的创建时间记录为去年11月，这意味着漏洞存在的时间窗口可能接近六个月。但具体哪些凭证何时被添加、在公开状态下存在了多久，目前尚不完全清晰。

CISA在回应克雷布斯的查询时发表了一份声明，称"目前没有迹象表明此次事件导致任何敏感数据泄露"，并表示正在努力确保实施额外的安全措施以防止未来发生类似事件。

"没有迹象表明"是一句在安全事故声明中极为常见的措辞，它的意思是没有发现被利用的证据，而不是确认没有被利用过。两者之间的区别，对于任何了解网络入侵特性的人来说，都相当微妙。

一个处于动荡中的机构

要理解这次事故为何格外令人不安，需要了解CISA目前所处的机构环境。

CISA成立于2018年，是美国国土安全部下属的相对年轻的机构，核心职能是协调联邦政府的网络防御并保护关键基础设施。然而自特朗普第二任期开始以来，这个机构一直处于持续的动荡之中。

导火索要追溯到2020年大选后。时任CISA局长克里斯·克雷布斯——也是安全博客克雷布斯同名人物——公开证实2020年大选"是美国历史上最安全的选举之一"，直接反驳了特朗普关于选举舞弊的说法，随即遭到解雇。

特朗普再次上任后，CISA经历了大规模人员削减和预算压缩。迄今为止，他任命的两名代理局长均未获得参议院正式确认，机构领导层处于持续的临时状态。与此同时，特朗普政府还提出大幅削减CISA预算的计划，这在网络安全业界引发了广泛担忧。

在这个背景下，这次密钥泄露事故有了额外的注脚。根据克雷布斯报告中对事件的一种解读，似乎是一名为政府承包商Nightwing工作的员工，使用GitHub将工作材料从办公设备转移到家用设备，就像给自己发电子邮件一样，只不过选择了一种安全性更低的方式，并且意外将存储库设置为了公开状态。

这种操作本身在技术人员中并不罕见，尤其是在远程办公环境下。但在一个专门负责制定和推广网络安全最佳实践的机构里，将包含生产环境管理员凭证的文件以明文形式上传到公开代码库，是一种基础性的操作失误。

这里有一个令人不舒服的讽刺：CISA每年向联邦政府机构和私营企业发布大量关于凭证管理和访问控制的安全指南，其中包括明确警告不要将密钥以明文形式存储在代码库中。这些指南，是CISA自己写的。

一个机构的公信力，很大程度上建立在它能够以身作则的能力上。对于一个以网络安全为核心使命的机构而言，这次事故带来的信任损耗，可能比技术层面的风险更难修复。