研究人员发现，公开在网上的Docker Hub中的容器镜像文件，内含AI模型、API密钥及多种凭证，警告可能造成软件供应链攻击。

安全厂商Flare针对2025年11月1日至30日上传至Docker Hub的上万个镜像文件进行分析，检测这些镜像是否包含敏感访问信息。他们定义了15种敏感凭证，包括软件开发生命周期（Software Development Lifecycle，SDLC）及代码控制凭证（如GitHub）、云平台凭证（如AWS/GCP/Microsoft Azure）、AI及模型访问凭证、支付服务凭证等。

他们发现10,456个包含高危及严重级别凭证的镜像文件，分布在205个命名空间（namespace）。进一步分析，研究人员识别出101个命名空间所属的实际企业，其中多数为中小企业，但也包括一些大型企业，以及一家财富五百强企业。从行业分布来看，以软件开发（28家）、市场与产业（20家）、AI与智能系统（15家）最多，还包括一家前沿研究机构及11家金融/银行机构。

值得注意的是，在这些容器镜像中，近42%包含5种以上凭证，例如完整访问云平台、Git代码库、CI/CD系统、支付集成或其他核心基础设施组件的凭证。

分析泄露各类凭证关联的Docker Hub账户数量，其中最多的是与AI模型密钥相关的账户，达191个，如Anthropic、Grok等。其次是API令牌，有157个。与云平台（AWS/Azure/GCP/RDS等）和访问凭证（如JWT、App Key、加密密钥）关联的账户数量分别为127个和103个。此外，还包括数据库、CI/CD平台（如GitHub、Docker）、协作通信平台（如Slack）和第三方支付工具（如Stripe）等各数十个账户。

研究人员提醒，需警惕企业环境中的影子IT现象，因为部分泄露信息来源于个人或承包商账户，可能意味着机密信息通过员工个人账户或外包商账户外泄。此外，一旦凭证被公开（如暴露在公共Docker Hub上），企业IT部门除移除泄露的凭证外，还必须及时吊销或轮换凭证，否则泄露后的凭证可能被黑客获取并用于非法访问。