该论文对微信小程序（Mini-apps）中的凭证泄露问题进行了大规模实证研究。微信小程序是一种无需安装即可在微信中运行的应用，其开发者通常使用云服务API密钥、第三方服务令牌等凭证来访问后端资源。论文作者设计并实现了静态分析工具MiniKey，该工具利用自定义的YARA规则以及基于行为启发式的验证方法，对来自微信不同渠道（如主库、分包、云开发等）的约380万个小程序代码进行扫描，检测硬编码的凭证。研究发现，凭证泄露现象极为普遍：约43%的小程序包含至少一个凭证实例，其中常见泄露包括云数据库API密钥、对象存储令牌、短信服务密钥以及第三方AI服务密钥等。更严重的是，许多泄露的凭证仍处于有效状态（通过实际验证与对应服务交互确认），攻击者可以利用这些凭证直接访问受害者的云资源、窃取数据或执行恶意操作，造成严重的安全威胁和经济损失。论文还分析了凭证泄露的类型分布、开发者行为模式（如使用公共代码模板、不安全的代码分享）以及不同微信渠道的风险差异。基于研究结果，作者提出了开发者端和平台端的改进建议，包括代码审查、凭证管理最佳实践、增强型动态扫描等。