#AI: Grok Build сливал весь твой код в облако - вместе с паролями ⌨️
😐
Ранее писали как вайб-кодинг приносит уязвимости. Теперь риск другого уровня - сам кодинг-агент оказался каналом утечки всего репозитория.
Grok Build - CLI-агент от xAI, типа Claude Code: даёшь доступ, он помогает писать код. Исследователь cereblab прогнал версию 0.2.93 через прокси и поймал агента за руку.
Что происходило:
На один запрос модели хватало 192 КБ. А в облако xAI улетало 5.1 ГБ - весь репозиторий целиком, с полной git-историей и файлами, которые агенту прямо запретили открывать.
В дамп попадал даже .env с открытыми ключами и паролями от баз. Всё складывалось в бакет grok-code-session-traces через отдельный канал загрузки.
Что бесит больше всего:
🟠Тумблер "не обучать на моих данных" не работал - сервер всё равно грузил
🟠Подложили файл-ловушку, агент его не читал - а в облако он всё равно улетел
🟠5.1 ГБ вместо 192 КБ - в ~27000 раз больше чем нужно
После публикации xAI по-тихому вырубил загрузку и добавил флаг отключения. Маск в X пообещал:
Все данные, загруженные до этого момента, будут полностью и безвозвратно удалены. Не останется вообще ничего.
Только ни сроков, ни способа проверить удаление, ни цифры сколько юзеров задело - тишина.
🗒 Даёшь агенту доступ, а он тащит все твои файлы и паролями. Как безопасно подключать кодинг-агентов и что нельзя им отдавать - разбираем в
ИИ-клубе.
Slavik |
Updates |
Инстаграм |
ИИ Клуб