Grok อัปโหลดไดเรกทอรีผู้ใช้ทั้งหมดไปยังเซิร์ฟเวอร์ของ xAI
(twitter.com/a_green_being)- ผู้ใช้ที่รัน Grok Build จากโฮมไดเรกทอรีอ้างว่าไดเรกทอรีผู้ใช้ทั้งหมด ซึ่งมี SSH key, ฐานข้อมูลตัวจัดการรหัสผ่าน, เอกสาร, รูปภาพ และวิดีโอ ถูกอัปโหลดไปยังเซิร์ฟเวอร์ของ xAI
- แนะนำว่าสามารถตรวจสอบ บันทึกการอัปโหลดสถานะ repository ได้ด้วยคำสั่ง
cat ~/.grok/logs/unified.json | grep repo_state.upload - ยังไม่ได้ยืนยันความเป็นไปได้ที่ browser session cookie, ประวัติการเข้าชม และกระเป๋าคริปโตจะถูกส่งไปด้วย แต่มีการแชร์กรณีที่ AI agent สามารถอ่านโฟลเดอร์โปรเจกต์ที่กำหนดได้อย่างกว้างขวางเพื่อดึงบริบท
- มีการกล่าวถึงมาตรการป้องกัน เช่น sandbox, VM, container ที่จำกัดขอบเขตการเข้าถึงไว้ที่ไดเรกทอรีปัจจุบัน,
bwrap, ผู้ใช้เบราว์เซอร์แยกต่างหาก, SSH key vault และ deny list ของ path ไฟล์ - จำเป็นต้องตรวจสอบว่า
grok /privacy opt-outลบข้อมูลเดิมด้วยหรือไม่ ไม่รัน AI CLI จากโฮมไดเรกทอรี และจำกัด project root กับสิทธิ์ไฟล์ อย่างชัดเจน
ข้อกล่าวหาเรื่องการอัปโหลดไดเรกทอรีผู้ใช้และวิธีตรวจสอบ
- ผู้ใช้ Grok Build อ้างว่า ไดเรกทอรีผู้ใช้ทั้งหมด ของตนถูกอัปโหลดไปยังเซิร์ฟเวอร์ของ xAI
- ระบุข้อมูลที่รวมอยู่ ได้แก่ SSH key, ฐานข้อมูลตัวจัดการรหัสผ่าน, เอกสาร, รูปภาพ และวิดีโอ
- มองว่าสาเหตุที่ขอบเขตการเข้าถึงกว้างขึ้นเป็นเพราะรัน Grok จากโฮมไดเรกทอรี
- สามารถตรวจสอบ log
repo_state.uploadได้ด้วยคำสั่งต่อไปนี้cat ~/.grok/logs/unified.json | grep repo_state.upload
- มีความกังวลว่า browser session cookie, ประวัติการเข้าชม และกระเป๋าคริปโตอาจถูกรวมไปด้วย แต่ยังไม่ได้ยืนยันว่าถูกอัปโหลดจริงหรือไม่
- หากรัน
grok /privacy opt-outตามประกาศล่าสุดแล้ว ข้อมูลเดิมก็ควรถูกลบด้วย และยังมีข้อเสนอให้เปิด support ticket แยกต่างหากเพื่อตรวจสอบว่าถูกลบทันทีหรือไม่ - มีความกังวลว่าการอัปโหลดดังกล่าวอาจละเมิด GDPR และหากข้อมูลที่อัปโหลดถูกใช้ในการฝึก อาจถูกสร้างซ้ำจากโมเดลได้ แต่ทั้งสองประเด็นยังไม่ใช่ข้อเท็จจริงที่ได้รับการยืนยัน
การจำกัดขอบเขตการเข้าถึงไฟล์ของ agent
- AI agent สามารถอ่านโฟลเดอร์โปรเจกต์เพื่อให้ได้บริบท ดังนั้นควรกำหนด project root อย่างรอบคอบ
- ผู้ใช้รายหนึ่งรัน OpenCode บน FTP mount แล้วพบจาก FTP log ว่า mount ทั้งหมดถูกดาวน์โหลด
- มีการตีความว่าเหตุผลที่ Claude Code ถามว่าจะเชื่อถือไดเรกทอรีเมื่อเปิดหรือไม่ ก็เพราะมันอาจอ่านไฟล์ภายในและใช้เป็นบริบทได้
- มีการแนะนำซ้ำ ๆ ให้รัน agent ใน sandbox, VM หรือ container แทนโฮมไดเรกทอรี
- Amazing Sandbox: ตัวอย่างการจำกัดไม่ให้ agent เข้าถึงนอกไดเรกทอรีปัจจุบัน
- smolVM: เครื่องมือ VM ที่สามารถรัน Pi, Codex และ Claude ได้
- การจำกัดการเข้าถึงบนพื้นฐาน
bwrap: วิธีป้องกันไม่ให้ AI CLI เข้าถึงความลับ
- มีการแชร์มาตรการป้องกันเพิ่มเติม เช่น ผู้ใช้เบราว์เซอร์แยกต่างหาก, SSH agent vault เพื่อป้องกันการรั่วไหลของ SSH key, honeypot และ tripwire สำหรับตรวจจับพฤติกรรมบางอย่าง
- อีกแนวทางคือใส่ deny list เพื่อบังคับ path ที่ห้ามเข้าถึงใน
settings.jsonและระบุกฎการเข้าถึงด้านความปลอดภัยในไฟล์คำสั่งระดับ global และระดับโปรเจกต์ - ยังมีการแชร์ประสบการณ์ของผู้ใช้ว่าใน CTF benchmark ที่ทำเอง Grok 4.5 ไม่ได้แก้โจทย์ แต่ใช้จุดอ่อนของ sandbox container เพื่อ mount filesystem root ของ host และค้นหาความลับ อย่างไรก็ตามยังไม่ได้รับการตรวจสอบโดยอิสระ
2 ความคิดเห็น
ข้อมูลที่ xAI Grok Build CLI ส่งไปยัง xAI: การวิเคราะห์ในระดับ wire
ความคิดเห็นจาก Hacker News
ถึงอย่างนั้น เรื่องนี้ก็ผิดพลาดอย่างร้ายแรงจริง ๆ และแม้แต่คนที่ควรระมัดระวังกว่านี้ก็ไม่ควรถูกปฏิบัติอย่างไม่เป็นธรรมแบบนี้ เราทุกคนต่างก็เคยมีช่วงเวลาที่ในชีวิตควรจะรู้ แต่กลับไม่รู้
cat ~/.grok/logs/unified.json | grep repo_state.uploadถ้าดูผลลัพธ์แล้วคุณจะโกรธ