VPN服务商Mysterium的研究团队发布了一份关于2026年互联网规模的数据显示，有4,964,815个IP地址的网站服务器可通过公开网络访问Git存储库的.git元数据，相当于近500万台服务器在部署或配置过程中出现疏漏，导致本不应对外暴露的内部文件被保留在网站可访问的位置。研究还发现，其中252,733个案例的.git/config文件中包含部署凭证，其风险不仅限于信息泄露，更可能被用于滥用账户令牌，甚至引发后续入侵。

研究人员在报告中指出，.git目录不仅是存放源代码的子文件夹，还保存了版本历史与配置信息，足以让外部人员拼凑出项目结构与变更轨迹。如果站点将.git目录一并放入对外的网站根目录，攻击者可能借此获取源代码、配置线索或其他敏感数据，进而分析系统弱点并实施横向渗透。

这类问题并非新型漏洞，研究人员指出几种常见场景：开发者直接将整个项目目录上传至生产环境；打包工具在生成文件时一并包含隐藏目录；站点仅在主域名上做了防护，却忽略了其他入口，例如备用域名或直接通过IP地址访问时仍可读取隐藏目录。由于许多Web服务器默认不会主动阻止隐藏目录的访问，小疏忽便可能演变为可被大规模扫描发现的安全暴露面。

暴露的IP地址中，美国数量最多，达1,722,949个，其次为德国、法国、印度和新加坡等地。研究人员强调，这些数字反映的是服务器托管位置，而非网站所属企业的注册地，与云区域选择、内容分发架构及共享托管密度密切相关。

特别值得关注的是.git/config文件的暴露风险，该文件保存了远程仓库地址与拉取规则等配置信息，在部分现有流程中，部署用的账号密码或访问令牌可能直接写入远程URL，导致凭证随配置文件一同泄露。当暴露风险从元数据升级至凭证层面，后果不再仅是信息外泄，还可能导致私有仓库被未授权访问、代码被篡改，甚至扩大供应链攻击风险。

研究人员建议的应对措施包括两点：一是立即封锁对.git等隐藏目录的公开访问，并确保所有对外入口均统一应用该规则；二是回归部署策略本身，避免将完整的Git工作目录带入生产环境，改用构建产物或容器镜像进行交付，以降低历史记录和配置文件残留在公开Web根目录的可能性。