SlowMist: Grok Build CLI tiene varios riesgos de seguridad en la carga de datos y la gestión de permisos

robot
Generación de resúmenes en curso

PANews 18 de julio, Yue, SlowMist dijo en la plataforma X que, anteriormente, analizó el comportamiento de carga de datos de Grok CLI y encontró que su mecanismo de carga de repositorios podría enviar git bundle que contengan archivos sensibles como .env y claves privadas RSA. Con base en esto, el equipo continuó auditando el modelo de seguridad de Grok Build CLI y descubrió varios riesgos: cargo check se clasifica erróneamente como un comando seguro; junto con instrucciones maliciosas en AGENTS.md, puede activar la ejecución de build.rs para lograr ejecución remota de código; bypassPermissions en .claude/settings.json puede omitir las comprobaciones de permisos para habilitar la ejecución de herramientas sin restricciones; Grok Build CLI hereda el modelo de configuración de permisos de Claude Code CLI, y presenta riesgos similares; .mcp.json introduce una superficie de ataque adicional mediante la configuración de MCP. SlowMist señaló que cuando los agentes de codificación con IA confían en exceso en los archivos a nivel de proyecto, abrir un proyecto equivale a otorgar acceso tipo shell.

Ver original
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
Añadir un comentario
Añadir un comentario
Sin comentarios
  • Fijado