Como detectar e remover segredos expostos em estações de trabalho de desenvolvedores

O artigo atual descreve um fluxo operacional realista para detecção de segredos em estações de trabalho, mas não explica por que isso virou prioridade imediata em 2026. A resposta está nos dados: infostealers infectaram 3,9 milhões de máquinas únicas só em 2025, roubando 347,5 milhões de credenciais. Em macOS, a infecção subiu 7.000% em um ano. Cada chave SSH ou token do GitHub deixado em ~/.ssh/, ~/.zsh_history ou ~/.aws/credentials é um alvo direto, e o bagel foi projetado exatamente para esses locais, com 9 sondas específicas para IDEs, CLIs de IA, variáveis de ambiente e provedores de nuvem.

O bagel, lançado em 11 de fevereiro de 2026 pela Boost Security, é uma CLI 'privacy-first': nunca envia nem registra os segredos reais, só metadados, localização, tipo, severidade. Isso resolve um gargalo crítico de compliance: muitas empresas evitavam escaneamento local por medo de vazamento acidental de credenciais sensíveis. Já o Fleet 4.86.0 (lançado em 29/05/2026) trouxe rotação automática de senhas de administradores locais e suporte a GitOps para logos, funcionalidades que tornam viável integrar esse workflow a políticas de acesso condicional via Entra ID, bloqueando login até que segredos críticos sejam removidos.

Segredos em texto simples em workstations não são um 'problema de desenvolvedor', são um vetor de ataque sistêmico. Em 22% dos ataques recentes, credenciais roubadas foram o ponto de entrada inicial, e o custo médio por violação chegou a US$ 4,5 milhões em 2025. O tempo médio para detectar essas violações é de 181 dias. Ferramentas como EPP/EDR falham nesse cenário porque não inspecionam conteúdo de arquivos, só comportamento. Já bagel + fleet + osquery transformam a estação de trabalho em um sensor ativo: não só detecta, mas vincula o achado a uma política executável (ex.: 'não entra no VPN se tiver token AWS crítico em .bashrc') e notifica via Slack antes que o malware chegue.