主要观点：攻击者关心泄露秘密的两方面，多数 GitLab 和 GitHub API 密钥泄露后有全读写访问权，团队未遵循最小权限原则，机器身份与人类不同，大规模系统和访问存在现实问题，人类审计与非人类身份（NHIs）审计不同，规模化使问题更严重，智能体 AI 加剧问题，需先有清单和可见性，最优许可的未来需特殊策略和工具。
关键信息：GitGuardian 报告中 API 密钥泄露情况，最小权限原则定义及重要性，机器身份与人类在访问请求等方面的差异，大规模系统中权限管理的困难，智能体 AI 带来的风险，强调先有清单和可见性及未来所需工具。
重要细节：多数泄露密钥有全读写权，机器身份无法参与传统访问请求流程，开发人员常默认宽泛访问权限，大规模系统中权限管理常靠试错，人类审计与 NHIs 审计差异，智能体 AI 继承权限且难以监控，需自动化工具实现权限管理等。