PANews 7월 18일 소식, 슬로우미스트(SlowMist)가 X 플랫폼에 게시한 글에서 이전에 Grok CLI의 데이터 업로드 동작을 분석한 결과, 해당 리포지토리 업로드 메커니즘이 .env 파일과 RSA 개인 키 등 민감한 파일이 포함된 git 번들을 전송할 수 있음을 확인했다고 밝혔다. 이를 바탕으로 팀은 Grok Build CLI의 보안 모델을 다시 감사하여 여러 위험을 발견했다: cargo check가 안전한 명령으로 잘못 분류되어, 악의적인 AGENTS.md 지시문과 결합하면 build.rs 실행을 유발해 원격 코드 실행이 가능하며, .claude/settings.json의 bypassPermissions는 권한 검사를 우회해 제한 없는 도구 실행을 허용하고, Grok Build CLI는 Claude Code CLI의 권한 구성 모델을 상속받아 유사한 위험이 존재하며, .mcp.json은 MCP 구성을 통해 추가적인 공격 표면을 도입한다. 슬로우미스트는 AI 코딩 에이전트가 프로젝트 수준 파일을 과도하게 신뢰할 경우, 프로젝트를 여는 것 자체가 셸 접근 권한을 부여하는 것과 같다고 지적했다.
슬로우미스트: Grok Build CLI, 데이터 업로드 및 권한 관리에 다수의 보안 위험
공유하기:
작성자: PA一线
이 내용은 시장 정보 제공만을 목적으로 하며, 투자 조언을 구성하지 않습니다.
PANews 공식 계정을 팔로우하고 함께 상승장과 하락장을 헤쳐나가세요
추천 읽기
PANews 앱
24시간 블록체인 업계 소식을 추적하고 심층 기사를 분석합니다.



