SlowMist : Grok Build CLI présente plusieurs risques de sécurité concernant le téléchargement des données et la gestion des autorisations

robot
Création du résumé en cours

PANews, 18 juillet — SlowMist a indiqué sur la plateforme X que, dans une analyse précédente des comportements de téléversement des données par Grok CLI, l’équipe avait constaté que son mécanisme de dépôt pourrait envoyer des bundles git contenant des fichiers sensibles tels que des fichiers .env et des clés privées RSA. Sur cette base, l’équipe a poursuivi l’audit du modèle de sécurité de Grok Build CLI et a mis en évidence plusieurs risques : cargo check a été classé à tort comme une commande sûre, et, combiné à des instructions malveillantes dans un AGENTS.md, peut déclencher l’exécution de build.rs, réalisant ainsi une exécution de code à distance ; bypassPermissions dans .claude/settings.json peut contourner les contrôles d’autorisations pour permettre l’exécution d’outils sans restriction ; Grok Build CLI hérite du modèle de configuration des autorisations de Claude Code CLI, avec des risques similaires ; .mcp.json introduit une surface d’attaque supplémentaire via la configuration MCP. SlowMist souligne que, lorsque des agents d’encodage AI font trop confiance aux fichiers au niveau du projet, ouvrir un projet revient à accorder un accès shell.

Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé