Grok Build CLI 0.2.93 發現正在上傳整個 Git 儲存庫,包括機密資訊與提交歷史

根據被 Beating 監測的安全研究人員指出,Grok Build CLI 版本 0.2.93 會將整個 Git 儲存庫上傳至雲端,包括所有被 Git 追蹤的檔案以及完整的提交歷史,無論該 Agent 實際存取了哪些檔案。研究人員確認,即使被指示不要讀取任何檔案,未被存取的誘餌檔案仍會從上傳套件中被取回,且結果在多個儲存庫之間得到重現。在測試一個 12GB 的儲存庫時,於終止前成功上傳了 5.5GB 的資料。

如果 Grok 會讀取 .env 檔案,API 金鑰與資料庫密碼就會以原樣被包含在模型請求與會話封存中。即使停用「Improve the model」設定,上傳仍會持續。xAI 的官方文件表示,僅會將提示與檔案內容送往雲端推論,未提及完整儲存庫的上傳。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆