网络安全专家发现了意外泄露的 GitHub token，网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中，附上博文相关内容如下：

　　这起安全案例非常特殊，如果该 token 落入不法分子之手，其潜在破坏力再怎么形容都不为过，例如攻击者可以将恶意代码注入 PyPI 软件包，甚至可以在 Python 语言本身中注入恶意代码。

　　JFrog 在公开 Docker 容器的一个编译 Python 文件中发现该认证 token，于 2023 年 3 月 3 日前创建，由于安全日志在 90 天之后已失效，目前尚不清楚具体创建日期。

　　JFrog 于 2024 年 6 月 28 日披露该 token 之后，相关 token 立即被撤销，没有证据表明该 token 有被黑客利用。