Grok Build CLIが送信するデータの実態分析

Judul asli: What xAI's Grok Build CLI Actually Sends to xAI

Mengapa Ini Penting

開発ツールによる非公開のコードや秘密情報の自動送信は、企業のセキュリティリスクに直結する重要な問題。

xAIのGrok Build CLI(v0.2.93)が、.envファイルの秘密情報やリポジトリ全体をxAIのサーバーへ送信していることが、ワイヤーレベルの解析で判明した。

研究者cereblab氏がGrok Build CLI(バージョン0.2.93)のネットワーク通信を詳細に解析し、3つの重大な動作を確認した。

第一に、CLIは読み込んだファイルの内容を無加工でxAIへ送信する。.envファイルに含まれる秘密情報も例外ではなく、モデルへのリクエスト(POST /v1/responses)とセッション状態のアーカイブ(POST /v1/storage)の2経路で送信される。

第二に、エージェントが実際に読んだファイルに関係なく、リポジトリ全体をgitバンドルとしてアップロードする。「ファイルを読まずにOKと返答せよ」という指示を与えた状態でも、POST /v1/storageへのアップロード(HTTP 200)が確認され、バンドルを復元すると一度も開かれていないはずのファイル(src/_probe/never_read_canary.txt)とgit履歴全体が取得できた。

第三に、12GBのリポジトリを使った検証では、/v1/storageが5.10GiBを転送したのに対し、モデルターンは192KBのみで、約27,800倍の差が生じた。送信先はAmazon S3ではなく、Google Cloud Storageのバケット「grok-code-session-traces」であることもバイナリと取得したmetadata.jsonから確認されている。なお、この仕組みはxAIの公式ドキュメントには明記されていないと同氏は指摘している。

Sumber

gist.github.com — Baca artikel asli →