Peringatan pengembang: Grok Build mengunggah seluruh direktori home ke xAI, kunci SSH dan brankas kata sandi diekspos sepenuhnya

7 Juli, pengembang A Green Being memublikasikan tangkapan layar log unified.json di platform X, menuduh Grok Build—alat pengembangan milik xAI di bawah naungan Elon Musk—mengarsipkan seluruh direktori home-nya dan mengunggahnya ke server xAI; konten yang bocor mencakup kunci SSH pribadi, data basis manajer kata sandi, file pribadi, foto, serta video—“semuanya bocor”.

Bukti Tangkapan Layar Log A Green Being

Grok Build外洩內容日誌截圖 (Sumber: A Green Being)

Berdasarkan tangkapan layar log unified.json yang dibagikan A Green Being di platform X, sistem memang memicu sejumlah besar permintaan repo_state.upload.start, dan jalur unggahnya langsung mengarah ke direktori home pengguna tersebut (/home/usuario); ini berarti Grok Build, tanpa pemilihan dan pengecualian file yang jelas, mengirimkan semua dokumen lokal yang sangat sensitif (kunci SSH, basis data manajer kata sandi, foto, dan video) sepenuhnya ke endpoint cloud xAI.

A Green Being menyatakan bahwa privasi bencana ini terjadi karena ia secara tidak sengaja menjalankan alat Grok Build di bawah Home Directory. CyberSatoshi menanggapi: “Kamu lebih parah daripada aku; kamu langsung menjalankan Grok di direktori home-mu sendiri.”

Saran Keamanan Siber: Hindari Menjalankan di Direktori Home, Gunakan Sandbox dan Perintah Log Monitoring

Berdasarkan saran pakar keamanan siber, bagi pengembang yang telah menggunakan atau sedang mempertimbangkan menggunakan alat pengembangan berbantuan AI serupa seperti Grok Build, sebaiknya melakukan langkah perlindungan berikut:

· Hindari sepenuhnya menjalankan alat AI tersebut di direktori home atau root

· Gunakan lingkungan terisolasi: jalankan di lingkungan virtual terpisah (Sandbox), kontainer Docker, atau akun pengguna khusus yang dibatasi

· Pantau log secara aktif: melalui perintah terminal (cat ~/.grok/logs/unified.json | grep repo_state.upload) untuk memeriksa apakah ada perilaku unggah data yang tidak wajar

· Segera periksa log historis: jika sudah pernah menggunakan Grok Build, segera cek berkas log Grok di sisi lokal untuk memastikan apakah ada kebocoran data

Pertanyaan yang Sering Diajukan

Mengapa Grok Build mengunggah seluruh direktori home, bukan hanya kode proyek?

Menurut laporan, saat Grok Build melakukan operasi unggah di latar belakang, tidak ada mekanisme pengecualian file yang tepat (misalnya mengabaikan .gitignore atau file tersembunyi sistem secara otomatis); ketika pengguna menjalankan alat di direktori home, desain tingkat bawah alat menganggap direktori home sebagai seluruh “lingkungan konteks” dan mengunggahnya semuanya, bukan hanya file kode. Ini adalah kesalahan ganda: kekurangan pada desain alat dan penggunaan yang tidak tepat pada lokasi.

Peringatan CyberSatoshi sebelumnya merinci risiko apa saja?

Menurut laporan, peringatan CyberSatoshi (@XBToshi) sebelumnya menyebut bahwa Grok Build diam-diam, di latar belakang, mengunggah seluruh repositori proyek (Repository), catatan riwayat Git, serta file tersembunyi .env yang berisi informasi rahasia seperti kunci API, semuanya ke platform cloud Google (GCP), dan menyatakan hal ini sangat mungkin digunakan untuk pelatihan model berikutnya; saat itu ia juga meminta pengembang untuk segera memeriksa berkas log Grok di sisi lokal.

Bagaimana cara langsung memeriksa apakah komputer saya sudah mengunggah data via Grok Build?

Menurut laporan, Anda bisa memeriksa log melalui perintah terminal berikut: cat ~/.grok/logs/unified.json | grep repo_state.upload; jika di log muncul banyak catatan repo_state.upload.start, dan jalur unggah mengarah ke direktori home atau root, maka menunjukkan bahwa data sudah dikirim ke cloud; disarankan untuk segera menghentikan penggunaan Grok Build di lingkungan yang tidak terisolasi, serta menilai apakah informasi sensitif terkait (kunci SSH, kunci API) perlu segera diganti.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar