Grok Build CLI має кілька ризиків безпеки під час завантаження даних і налаштування прав доступу, Slow Mist попереджає, що 18 липня.

Згідно з результатами аудиту безпеки від Slow Mist, опублікованого 18 липня, Grok Build CLI містить кілька вразливостей. Команда виявила, що механізм завантаження репозиторію може передавати конфіденційні файли, зокрема .env-файли та RSA-приватні ключі, через git bundle. Крім того, команда cargo check була некоректно класифікована як безпечна операція; у поєднанні з шкідливими директивами AGENTS.md це може спричинити виконання build.rs та увімкнути віддалене виконання коду. Параметр bypassPermissions у .claude/settings.json може обходити перевірки дозволів, щоб запускати інструменти без обмежень. Slow Mist зазначив, що коли ШІ-агенти для кодування надто покладаються на файли рівня проєкту, відкриття проєкту фактично надає дозволи на доступ до командної оболонки.
Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів