PANews 7月18日、SlowMistはXプラットフォームで、以前Grok CLIのデータアップロード動作を分析し、そのリポジトリアップロードメカニズムが.envファイルやRSA秘密鍵などの機密ファイルを含むgit bundleを送信する可能性があることを発見したと発表した。これを受け、チームはGrok Build CLIのセキュリティモデルの監査を継続し、複数のリスクを特定した。cargo checkが誤って安全なコマンドに分類されており、悪意のあるAGENTS.mdの指示と組み合わさることでbuild.rsの実行がトリガーされ、リモートコード実行が可能になること、.claude/settings.json内のbypassPermissionsが権限チェックを回避し、無制限のツール実行を許すこと、Grok Build CLIがClaude Code CLIの権限設定モデルを継承しているため、類似のリスクが存在すること、そして.mcp.jsonがMCP設定を通じて追加の攻撃面をもたらすことが明らかになった。SlowMistは、AIコーディングエージェントがプロジェクトレベルのファイルを過度に信頼する場合、プロジェクトを開くこと自体がシェルアクセスの付与に等しくなると指摘した。
SlowMist:Grok Build CLIはデータアップロードと権限管理に複数のセキュリティリスクがある
共有先:
著者:PA一线
この内容は市場情報の提供のみを目的としており、投資助言を構成しません。
PANews公式アカウントをフォローして、強気・弱気相場を一緒に乗り越えましょう
おすすめ記事
PANewsアプリ
24時間ブロックチェーン業界情報を追跡し、深掘り記事を解析。



