Misty Fog: Grok Build CLI tồn tại nhiều rủi ro bảo mật về việc tải dữ liệu lên và quản lý quyền truy cập

robot
Đang tạo bản tóm tắt

PANews 18 tháng 7, chậm sương trên nền tảng X đăng bài cho biết trước đó đã phân tích hành vi tải dữ liệu của Grok CLI, phát hiện cơ chế tải lên kho lưu trữ của nó có thể gửi các tệp nhạy cảm như .env và khóa RSA private trong git bundle. Trên cơ sở đó, nhóm tiếp tục kiểm toán mô hình bảo mật của Grok Build CLI và phát hiện nhiều rủi ro: cargo check bị phân loại nhầm là lệnh an toàn, đồng thời kết hợp với chỉ dẫn của AGENTS.md độc hại có thể kích hoạt build.rs để thực thi mã từ xa; bypassPermissions trong .claude/settings.json có thể vượt qua kiểm tra quyền để thực thi các công cụ không bị giới hạn; Grok Build CLI kế thừa mô hình cấu hình quyền của Claude Code CLI nên có rủi ro tương tự; .mcp.json thông qua cấu hình MCP đưa thêm bề mặt tấn công. Chậm sương cho biết khi các tác nhân mã hóa AI quá tin tưởng các tệp cấp dự án, việc mở một dự án tương đương với việc cấp quyền truy cập shell.

Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim