Grok Build aurait exposé et téléchargé l’intégralité du code source, et des clés secrètes ainsi que l’historique Git pourraient avoir été volés

robot
Création du résumé en cours

D’après les observations de Beating Monitoring, des chercheurs en sécurité ont intercepté (capturé) le trafic de Grok Build CLI 0,2.93. Les résultats montrent que cet agent de programmation de xAI téléverse l’ensemble du dépôt Git actuel vers le cloud. Le contenu inclut tous les fichiers suivis par Git ainsi que l’historique complet des commits, sans se limiter au code réellement lu par l’agent.

Les chercheurs demandent à Grok « de ne lire aucun fichier », mais l’équipe est quand même parvenue à reconstituer, à partir de l’archive téléversée, des fichiers leurres qui n’avaient pas été ouverts. Les mêmes résultats ont été reproduits sur un deuxième dépôt. Lors du test d’un dépôt de 12 Go, avant d’arrêter, 5,5 Go de données avaient déjà été téléversés avec succès.

Si Grok lit .env, les clés API et les mots de passe de base de données qu’il contient sont également transmis tels quels dans les requêtes du modèle et les archives de session. Même en désactivant « Improve the model », le téléversement de l’intégralité du dépôt continue.

La documentation officielle de xAI ne précise que le fait que les prompts et le contenu des fichiers sont envoyés pour l’inférence dans le cloud, sans mentionner un téléversement supplémentaire de l’intégralité du dépôt.

GROK-1,62%
XAI-3,77%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé