Grok Build CLI 0.2.93 が、シークレットやコミット履歴を含む Git リポジトリ全体をアップロードしているのを検出しました

Beatingが監視しているセキュリティ研究者によると、Grok Build CLI バージョン 0.2.93は、エージェントが実際にアクセスしたファイルにかかわらず、すべてのGitトラッキング対象ファイルと完全なコミット履歴を含めたGitリポジトリ全体をクラウドにアップロードします。研究者は、ファイルを一切読まないよう指示した場合でも、アクセスされていないデコイ用ファイルがアップロードパッケージから回収され、その結果が複数のリポジトリで再現されたことを確認しました。12GBのリポジトリをテストしたところ、終了前に5.5GBのデータが正常にアップロードされました。

Grokが.envファイルを読み取る場合、APIキーやデータベースパスワードがそのままモデルリクエストおよびセッションアーカイブに含まれます。「Improve the model」設定を無効にしてもアップロードは継続します。xAIの公式ドキュメントでは、クラウド推論に送信されるのはプロンプトとファイル内容のみであり、完全なリポジトリのアップロードについては記載がありません。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし