Grok Build CLI tiềm ẩn nhiều rủi ro bảo mật khi tải dữ liệu và phân quyền; SlowMist cảnh báo vào ngày 18 tháng 7.

Theo báo cáo kiểm toán an ninh do Slow Mist công bố vào ngày 18 tháng 7, Grok Build CLI có nhiều lỗ hổng bảo mật. Nhóm phát hiện cơ chế tải lên kho lưu trữ có thể truyền các tệp nhạy cảm như tệp .env và khóa riêng RSA thông qua git bundle. Ngoài ra, lệnh cargo check bị phân loại nhầm là thao tác an toàn; khi kết hợp với các chỉ thị độc hại trong AGENTS.md, nó có thể kích hoạt việc thực thi build.rs và cho phép thực thi mã từ xa. Tham số bypassPermissions trong .claude/settings.json có thể vượt qua các kiểm tra quyền để chạy công cụ mà không bị giới hạn. Slow Mist cũng lưu ý rằng khi các tác nhân AI lập trình quá tin vào các tệp cấp dự án, thì việc mở một dự án thực chất sẽ cấp quyền truy cập shell.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận