スローモヤ:Grok Build CLIはデータのアップロードと権限管理の面で複数のセキュリティリスクがあります

robot
概要作成中

PANews 7月18日の報道によると、慢雾はXプラットフォーム上で投稿し、以前Grok CLIのデータアップロード挙動を分析した結果、そのリポジトリへのアップロード機構が.envファイルやRSA秘密鍵などの機密ファイルを含むgit bundleを送信する可能性があることを見つけたと述べた。これを踏まえ、チームはGrok Build CLIのセキュリティモデルについて引き続き監査し、複数のリスクを確認した。具体的には、cargo checkが誤って安全なコマンドとして分類されていること、悪意のあるAGENTS.mdの指示と組み合わせることでbuild.rsの実行をトリガーし、リモートコード実行が可能になること、.claude/settings.jsonのbypassPermissionsにより権限チェックを回避して無制限のツール実行ができること、Grok Build CLIがClaude Code CLIの権限設定モデルを継承しており同様のリスクがあること、さらに.mcp.jsonがMCP設定によって追加の攻撃面を導入していることなどである。慢雾は、AIコーディングエージェントがプロジェクト単位のファイルを過度に信頼すると、プロジェクトを1つ開くだけでシェルへのアクセス権を付与したのと同等になると指摘した。

原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • コメント
  • リポスト
  • 共有
コメント
コメントを追加
コメントを追加
コメントなし