Речь идет о том, что технический директор Incent Peter Godbolt (образование Guildhall School of Music & Drama) выложил в гитхаб код, в котором были API ключи. Для угона токенов этим мог воспользоваться кто угодно, поэтому здесь нет никакой уязвимости - это банальная тупость и необразованность этого человека. Если у проектов будут такие руководители, то никакой аудит безопасности кода не поможет.