文章总结： 美国CISA承包商公开仓库泄露GovCloud密钥与内网凭证，暴露系统性安全管控失效：管理员主动禁用密钥检测、凭证明文存储且吊销延迟48小时。事件源于人员裁减与预算削减引发的治理危机，国会已限期问责。建议机构强化开发环境与个人设备隔离、实施凭证自动扫描与即时失效机制、将绕过安全检测设为红线，并常态化开展红蓝对抗与突击审计以堵住内部盲区风险。 综合评分： 87 文章分类： 数据安全,云安全,供应链安全,安全运营

美国CISA现“灯下黑”：承包商的公开仓库泄露GovCloud密钥与内网口令，国会限期问罪

原创

网空闲话 网空闲话

网空闲话plus

2026年5月21日 06:53 北京

在小说阅读器读本章

去阅读

2026年5月15日，GitGuardian的研究员Guillaume Valadon在扫描公开代码库时，发现了一个名为“Private-CISA”的GitHub仓库。这个由CISA承包商Nightwing员工维护的仓库，不仅名字像个讽刺笑话，其内容更是让他“一开始以为这一切都是假的”——仓库内毫无遮掩地暴露了CISA最高权限的AWS GovCloud密钥、包含数十个内部系统明文用户名和密码的CSV文件，以及通往核心软件构建库“Landing Zone DevSecOps”的凭证。5月18日，经KrebsOnSecurity报道后，这一被称为“近年来最严重政府数据泄露之一”的事件被公之于众，随即在美国国会山引发轩然大波。

这不是意外，而是系统性裸奔

深入观察此事件，其最骇人之处并非泄露本身，而是暴露出的系统性安全实践崩溃。Valadon特别指出，该仓库的提交记录中，竟然包含专门用来禁用GitHub密钥检测功能的命令。这意味着，管理员并非无意中绕过安全机制，而是主动关闭了最后一道自动防线。同时，安全专家Philippe Caturegli验证后发现，包含三套AWS GovCloud管理凭证的“importantAWStokens”文件权限极高，能够直通CISA内部。更令人担忧的是，另一个名为“AWS-Workspace-Firefox-Passwords.csv”的文件，以明文形式存储了CISA内部众多系统的用户名和密码。Caturegli直言，泄露的中央软件包存储库（artifactory）凭证若被利用，将成为攻击者“横向移动的绝佳地点”，可通过植入后门在每次软件部署中扩散。

然而，这出荒诞剧还远未结束。CISA在接到通报后关闭了仓库，但泄露的AWS密钥却又存活了整整48小时才被吊销。这48小时的“窗口期”，足以让任何已窃得凭证的攻击者从容不迫地植入后门、建立持久访问。

“钥匙就放在柜台上”：冰山一角下的治理危机

这一技术层面上的灾难，不过是浮出水面的冰山一角。事故根植于CISA正经历的一场人为治理危机。正如国会议员在质询信中所强调的，自特朗普第二任期开始以来，CISA已被裁减超过三分之一的员工，预算被削减数亿美元，选举安全等关键项目被取消，调查机构被解散，甚至对国家级漏洞追踪系统的支持也面临终止。Rubrik公司的公共部门CTO Travis Rosiek将此形容为一场由“网络安全人才持续短缺、资金中断、高流失率和日益复杂的威胁形势”共同构成的“完美风暴”。

Infoblox的Dave Mitchell的评论则一语道破本质：“根本不需要威胁行为者使用高级技术来入侵你，如果钥匙本来就放在柜台上。”这句话精准概括了此事的荒谬：一个负责保护全美关键基础设施免受网络攻击的顶级机构，其被赋予重任的“守门人”，却把大门的钥匙明晃晃地挂在公共广场上。

国会山震怒：12道问题直指核心

事件曝光后，政治问责风暴迅速形成。参议员Maggie Hassan在5月19日致信CISA代理局长Nick Andersen，措辞严厉地指出，这起事件“引发了关于CISA内部政策和程序的严重质疑，尤其是在美国关键基础设施面临重大网络威胁的时刻”。她随信附上12个尖锐问题，并要求在6月5日前，举行“所需最高密级”的简报会。问题清单从“何时发现”、“为何安全控制失效”到“采取了何种整改措施”，步步紧逼，不留死角。同日，众议院国土安全委员会的民主党高层也联名致信，要求进行类似级别的通报。

议员们的愤怒不仅聚焦于事件本身，更直指CISA近年来的“前科”。就在去年，CISA前代理局长就因将敏感合同数据上传至ChatGPT而广受批评；2024年，CISA还通报了一起化学设施安全工具遭入侵的事件。叠加此次事件，一个深陷预算削减、人才流失和内部管理混乱的机构形象已跃然纸上，其脆弱性令人震惊。

不止是笑话：一次国家网络安全防线的“自画像”

“Private-CISA”事件如同一面镜子，照出的是一个在网络战中本应立于最前线的盾牌，其内部的千疮百孔。从使用“平台名+年份”作为密码，到主动禁用安全检测，再到将核心凭据上传公共网络长达半年之久，每一步都踩在安全红线上。美国国会提出的那12个问题，不仅是对CISA的拷问，更是对全球所有自认为固若金汤的安全机构的一次灵魂质问：当守护者自己连门锁都找不到时，它所承诺的安全又在哪里？这起丑闻，无论最终调查结果如何，都已为数字时代的信任体系，刻下一道深刻而尴尬的裂痕。

【闲话简评】

此事件是典型的“灯下黑”式灾难。它警示我们，安全防护的失效常源于内部流程的“内伤”和特权账号管理的失控。对我而言，引以为鉴必须直指核心：我们不能只看他人笑话，更要警惕我们自己的“灯下黑”问题。当我们的安全人员、外包开发者在归家前，是否也曾为图省事，用Git、网盘等个人工具同步过一丝工作数据？我们内部的安全审计，是真正有效的“照妖镜”，还是走过场的“手电筒”，根本照不出自己被遮挡的影子？真正的对手不嘲笑，只利用。我们必须从这场“灯塔失守”中反思：强推开发环境与个人设备隔离、凭证即时扫描与自动失效等刚性管控，将“不得绕过安全机制”设为不可触碰的红线，并常态化开展内部红蓝对抗与突击审计，才能真正扎紧自家的篱笆，堵住那些躲在盲区里的致命漏洞。

美国CISA侥幸躲过一劫？谁知道呢！

参考文献

1. Jonathan Greig, “Senator presses CISA for answers about alleged GitHub repository leak,” The Record, May 20, 2026. [Online]. Available: https://therecord.media/hassan-presses-cisa-github-leak
2. Tim Starks, “CISA credential leak raises alarms, and Capitol Hill demands answers,” CyberScoop, May 19, 2026. [Online]. Available: https://cyberscoop.com/cisa-credential-leak-congress-demands-answers/
3. Brian Krebs, “CISA Admin Leaked AWS GovCloud Keys on Github,” Krebs on Security, May 18, 2026. [Online]. Available: https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/
4. Senator Margaret Wood Hassan, “Letter to Acting Director Andersen Re: CISA Data Security,” May 19, 2026. [Online]. Available: https://www.hassan.senate.gov/imo/media/doc/letter_to_cisa_re_data_security.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《美国CISA现“灯下黑”：承包商的公开仓库泄露GovCloud密钥与内网口令，国会限期问罪》