2026-07-19 09:09:45
Grok Build CLI 在数据上传与权限方面存在多重安全风险,Slow Mist 于 7 月 18 日发出警告
根据 Slow Mist 于 7 月 18 日发布的安全审计,Grok Build CLI 包含多种安全漏洞。团队发现,仓库上传机制可能通过 git bundle 传输诸如 .env 文件和 RSA 私钥等敏感文件。此外,cargo check 命令被错误地归类为安全操作;当其与恶意的 AGENTS.md 指令结合时,可触发 build.rs 的执行并实现远程代码执行。 .claude/settings.json 中的 bypassPermissions 参数可以绕过权限检查,从而在不受限制的情况下执行工具。Slow Mist 指出,当 AI 编程代理过度信任项目级文件时,打开一个项目实际上就会授予 shell 访问权限。