تحتوي أداة Grok Build CLI على عدة مخاطر أمنية تتعلق برفع البيانات والصلاحيات، وتحذّر SlowMist بتاريخ 18 يوليو.

استنادًا إلى تدقيق أمني أجرته شركة Slow Mist ونُشر في 18 يوليو، يتضمن Grok Build CLI عدة ثغرات أمنية. ووجد الفريق أن آلية تحميل المستودع يمكنها نقل ملفات حساسة مثل ملفات .env ومفاتيح RSA الخاصة عبر git bundle. بالإضافة إلى ذلك، تم تصنيف أمر cargo check بشكل غير صحيح باعتباره عملية آمنة، وهو ما، عند دمجه مع توجيهات AGENTS.md الخبيثة، يمكن أن يؤدي إلى تشغيل build.rs وتمكين تنفيذ التعليمات عن بُعد (RCE). ويمكن للمعلمة bypassPermissions في .claude/settings.json تجاوز فحوصات الأذونات لتنفيذ الأدوات دون قيود. وأشارت Slow Mist إلى أنه عندما تُفرط وكلاء البرمجة بالذكاء الاصطناعي في الثقة بملفات على مستوى المشروع، فإن فتح مشروع يتيح فعليًا أذونات الوصول إلى shell.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات