شركة SlowMist: لدى أداة Grok Build CLI عدة مخاطر أمنية من ناحية رفع البيانات وإدارة الصلاحيات

robot
إنشاء الملخص قيد التقدم

تاريخ 18 يوليو، أعلنت PANews أن شركة SlowMist نشرت على منصة X، قائلة إنها سبق أن حللت سلوك رفع البيانات لأداة Grok CLI، ووجدت أن آلية رفع المستودع لديها قد ترسل ملفات حساسة بما في ذلك ملفات .env ومفاتيح RSA الخاصة ضمن git bundle. وبناءً على ذلك، واصل الفريق تدقيق نموذج الأمان الخاص بأداة Grok Build CLI، ووجد عدة مخاطر: تم تصنيف cargo check بشكل غير صحيح كأمر آمن، وبالاقتران مع تعليمات ضارة ضمن AGENTS.md يمكن تفعيل تنفيذ build.rs لتحقيق تنفيذ تعليمات برمجية عن بُعد؛ ويمكن لخاصية bypassPermissions في .claude/settings.json تجاوز عمليات التحقق من الصلاحيات لتنفيذ أدوات دون قيود؛ كما أن Grok Build CLI يرث نموذج إعدادات الصلاحيات الخاص بأداة Claude Code CLI، ما ينطوي على مخاطر مماثلة؛ وتضيف .mcp.json عبر إعدادات MCP سطح هجوم إضافي. وأشارت SlowMist إلى أنه عندما يثق وكيل الترميز بالذكاء الاصطناعي بشكل مفرط بملفات على مستوى المشروع، فإن فتح مشروع واحد يعادل منح صلاحية الوصول عبر shell.

شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت