В Grok Build CLI выявлено несколько рисков безопасности при загрузке данных и настройке прав; Slow Mist предупреждает 18 июля

Согласно security-аудиту от Slow Mist, опубликованному 18 июля, Grok Build CLI содержит несколько уязвимостей безопасности. Команда обнаружила, что механизм загрузки репозитория может передавать конфиденциальные файлы, включая .env-файлы и RSA-частные ключи, через git bundle. Кроме того, cargo check была ошибочно классифицирована как безопасная операция; в сочетании с вредоносными директивами в AGENTS.md это может привести к выполнению build.rs и обеспечивать удалённое выполнение кода. Параметр bypassPermissions в .claude/settings.json может обходить проверки прав доступа, позволяя запускать инструменты без ограничений. Slow Mist также отметил, что когда ИИ-кодирующие агенты чрезмерно доверяют файлам уровня проекта, открытие проекта фактически предоставляет права на доступ к командной оболочке (shell).
Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев