最新研究表明，包括政府部门、电信运营商和关键基础设施机构在内的多个敏感行业组织，会将密码与凭证信息粘贴至JSONFormatter、CodeBeautify等在线代码校验工具中。
网络安全公司watchTowr Labs表示，从在线代码校验工具网站捕获的超过8万份文件数据集中，发现了数千条用户名、密码、代码库认证密钥、Active Directory凭证、数据库凭据、FTP认证信息、云环境密钥、LDAP配置信息、服务台API密钥、会议室API密钥、SSH会话记录以及各类个人信息。
Part01

数据泄露规模惊人

此次泄露的数据涵盖JSONFormatter近五年的历史内容及CodeBeautify近一年的记录，总计超过5GB经过丰富标注的JSON数据。受影响机构遍及国家关键基础设施、政府机构、金融、保险、银行业、科技、零售、航空航天、电信、医疗、教育、旅游等领域，颇具讽刺意味的是，网络安全行业同样未能幸免。

Part02

便捷功能暗藏危机

watchTowr Labs的安全研究员在报告中指出：此类工具极为流行，在“JSON优化”等搜索结果中始终位居前列，被各类组织机构、开发人员和管理员广泛运用于企业环境及个人项目。这两款工具均提供格式化JSON结构或代码的保存功能，可生成半永久性的可分享链接，这意味着任何获得该URL的人员都能直接访问其中数据。

更严重的是，这些站点不仅设有便捷的"最近链接"页面展示全部近期保存记录，其可分享链接还采用规律性URL格式，使得攻击者仅需简单爬虫程序即可批量获取所有链接，例如：

• https://jsonformatter.org/{ID内容}

• https://jsonformatter.org/{格式化类型}/{ID内容}

• https://codebeautify.org/{格式化类型}/{ID内容}

Part03

泄露案例触目惊心

已曝光的泄露案例包括：某网络安全公司敏感配置文件加密凭证、银行客户身份认证信息、大型金融交易所与Splunk关联的AWS凭证，以及多家银行的Active Directory认证数据。为验证风险，研究人员曾向某工具上传伪造的AWS访问密钥，发现在保存48小时后即遭恶意分子尝试滥用。这证明通过此类渠道暴露的高价值信息正在被第三方抓取并验证，构成严重安全威胁。

Part04

安全机制亟待加强

watchTowr Labs的安全研究员强调：当前最迫切的问题并非开发更多人工智能驱动平台，而是需要杜绝关键机构向随机网站粘贴凭证的危险行为。目前，JSONFormatter与CodeBeautify目前已暂停链接保存功能，声称正在"完善系统机制"并实施"强化的内容防护措施"。watchTowr透露，该功能关闭很可能是对其研究发现的响应。

参考来源：

Years of JSONFormatter and CodeBeautify Leaks Expose Thousands of Passwords and API Keys

https://thehackernews.com/2025/11/years-of-jsonformatter-and-codebeautify.html

文章来源 ：FreeBuf