在线JSON格式化工具七年间沉默泄露：超20万份文档含云密钥、税单、SSH密钥

导语：你可能想象不到，那些”只是为了排版好看”而粘贴到在线JSON格式化工具的调试代码，已经在不知不觉中被公开了整整七年。安全研究人员刚刚完成了迄今为止最大规模的数据收集——超过20万份文档静静躺在公开的链接池里，等着任何人认领。云密钥、SSH密钥、完整税单（含SSN）、银行余额……该来的，终究来了。

一、事件始末

这事儿还得从两家安全公司说起。安全研究团队 watchTowr Labs 在2025年11月首次曝光了 JSONFormatter.org 和 CodeBeautify.org 的数据泄露问题，他们收集了约8万份文档。而随后的研究团队 BeyondMemory 进行了更深入的挖掘——他们花了更长时间、走了更远的路，最终收集到的文档数量是 watchTowr 的两倍多：约20万份，时间跨度横跨约七年。

这些工具干的事儿其实很简单：开发者把一团乱麻的 JSON 或代码粘贴进去，点一下”美化”，然后——如果顺手点了保存——这段数据就会被分配一个六位十六进制 ID，生成一个可分享的链接，静静地躺在工具的”最近链接”页面。

问题就出在这个”保存”功能上。

这些网站不仅提供保存功能，还自带一个 “Recent Links”（最近链接）页面，列出了所有最近保存的内容。URL格式是可预测的——https://jsonformatter.org/{id-here} 或者 https://codebeautify.org/{formatter-type}/{id-here}——任何人都能用简单的爬虫批量扫完。更离谱的是，这一切都是无需任何认证的：你只要有那个 URL，就能拿到原始数据。

二、数据规模：谁的秘密被翻出来了

BeyondMemory 在其详细报告中给出了令人警醒的数字：

-至少 1,078 份文档被标记为高置信度携带敏感凭证：活密钥、用户名密码、API密钥、连接字符串

• 另有 2,167 份文档以中等置信度携带相同类型的信息
• 涉及行业包括政府机构、电信运营商、关键基础设施、金融机构、保险公司、医疗机构、教育机构、旅游业，甚至网络安全行业本身

泄露的信息类型清单比电视剧剧本还精彩：

• 云环境密钥：AWS、Azure、阿里云等各大云平台的访问密钥
• SSH 密钥：用于服务器访问的私钥
• API 密钥：支付网关、短信服务、地图服务等各种第三方 API 的密钥
• 数据库凭证：数据库连接字符串，含用户名密码
• Active Directory 凭证：企业内部目录服务的管理员账号
• 完整税单：包括 Social Security Number（SSN）在内的报税文件
• 银行对账单：账户余额、交易记录
• KYC 客户信息：银行对客户的身份核验资料
• Jenkins 构建凭证：CI/CD 系统的密钥
• 土耳其个人数据：包括 TCKN（土耳其身份证号）和 IBAN（国际银行账号）

三、攻击门槛有多低

你可能会问：这么low的攻击方式，真的有人会用吗？

watchTowr 做了一个实验。他们往其中一个工具上传了一个伪造的 AWS 访问密钥，然后静待。结果：48小时内，就有人试图利用它。

这个实验说明了两件事：第一，有人专门在爬这些工具；第二，爬到的东西立刻就会被尝试利用。这些数据不是在真空里躺着，而是已经进入了攻击者的武器库。

BeyondMemory 的研究还发现了一个更讽刺的事实：这些网站甚至还存在存储型 XSS（跨站脚本）漏洞——也就是说，那个收集了你所有秘密的网站，本身就是个带洞的篮子。

四、对国内开发者的警示

这事儿对国内开发者来说，绝对是一记响亮的耳光。

想想你用过多少在线工具：JSON 美化、正则测试、代码格式化、Base64 编解码、二维码生成……这些工具在百度搜索里排名靠前，用起来确实方便。但当你把生产环境的调试数据粘贴进去的时候，有想过这些数据的去向吗？

“只是为了排版好看”——这个理由，足以让任何一家公司的生产密钥在七年后被挂在公开网上。

更值得反思的是，这项研究还专门提到了土耳其的情况。土耳其的开发者同样喜欢用这些工具，他们的税表、银行流水、甚至 IBAN 账号都被翻了出来。这说明这个问题不是某个国家的特例，而是全球开发者的集体习惯性疏忽。

现在 AI 编程助手这么火，多少人在往通义灵码、文心一言、Github Copilot 里粘贴代码片段让 AI 帮忙优化？下一个数据泄露的源头，说不定就是那儿。

五、如何自救

事情已经发生了，但亡羊补牢未为晚也。以下是给所有开发者的建议：

永远不要在线处理生产数据。这条原则没有任何例外。调试就用本地的 json.tool 或者 jq，生产环境的日志轮子给我老老实实打在本地。

使用本地或可信任的离线工具。Linux 和 macOS 自带 python -m json.tool，Windows也有各种本地 JSON 编辑器。如果必须用在线工具，请先确认它不保存任何数据——而且别信任何”我们不保存”的承诺。

在企业内部推广安全编码实践。把这件事纳入安全培训，作为经典反面案例。告诉新人：你的每一次”方便”，都可能埋下一颗雷。

轮换所有可能被泄露的密钥。如果你发现自己的 AWS 密钥、API 密钥曾经在在线工具里粘贴过，别犹豫，立刻轮换。损失一个密钥比被黑一次小得多。

六、总结

这事儿吧，得从两边儿看。

红队那波人肯定在偷笑：这数据收集难度，几乎为零，回报却极高。八万、二十万……这些数字说明，有太多人根本没有意识到自己在干什么。攻击者不需要什么高深漏洞，不需要零日，就靠爬虫，就能拿到你拼命保护的密钥。

蓝队那边儿呢？估计已经在紧急排查：我们的人有没有用过这些工具？哪些密钥需要轮换？哪些日志需要检查？

紫队的建议是：别分红蓝了，先把”不要在网上粘贴生产数据”这事儿刻进脑子里。工具只是工具，别让它变成你公司机密的公开陈列室。

版权声明：本文由华盟网原创发布，保留所有权利。配图由华盟网授权使用。