本文针对公开源代码仓库中凭证泄露的严重安全问题展开研究。2024年已有超过2380万个秘密被暴露，现有检测工具由于依赖刚性模式匹配和二元分类（仅区分真实凭证与非凭证），导致大量误报——无法有效区分真实凭证与占位符或弱凭证。为此，作者提出一个三分类框架，将占位符/弱凭证明确建模为独立类别。该框架结合基于CodeBERT的语义理解与字符级模式识别，提取代码上下文的深层特征和字符形态特征。研究团队构建了一个包含9426个样本的新数据集，涵盖10种编程语言。实验结果表明，模型在真实凭证泄露检测上达到93%召回率和89%精确率，宏F1分数0.90，马修斯相关系数0.86。与纯字符级方法相比，占位符/弱凭证检测的F1分数从54%提升至81%。同时，高严重性告警数量减少了33.0%（从373降至250），且未牺牲安全覆盖范围。在留一语言交叉验证中，9种语言的F1分数超过0.80，展现出强大的跨语言泛化能力。该研究为提升凭证泄露检测的准确性和实用性提供了新思路。

该论文对微信小程序（Mini-apps）中的凭证泄露问题进行了大规模实证研究。微信小程序是一种无需安装即可在微信中运行的应用，其开发者通常使用云服务API密钥、第三方服务令牌等凭证来访问后端资源。论文作者设计并实现了静态分析工具MiniKey，该工具利用自定义的YARA规则以及基于行为启发式的验证方法，对来自微信不同渠道（如主库、分包、云开发等）的约380万个小程序代码进行扫描，检测硬编码的凭证。研究发现，凭证泄露现象极为普遍：约43%的小程序包含至少一个凭证实例，其中常见泄露包括云数据库API密钥、对象存储令牌、短信服务密钥以及第三方AI服务密钥等。更严重的是，许多泄露的凭证仍处于有效状态（通过实际验证与对应服务交互确认），攻击者可以利用这些凭证直接访问受害者的云资源、窃取数据或执行恶意操作，造成严重的安全威胁和经济损失。论文还分析了凭证泄露的类型分布、开发者行为模式（如使用公共代码模板、不安全的代码分享）以及不同微信渠道的风险差异。基于研究结果，作者提出了开发者端和平台端的改进建议，包括代码审查、凭证管理最佳实践、增强型动态扫描等。