MI Történik?

Mesterséges intelligencia hírek magyarul — naponta frissülve

← Vissza a főoldalra
A Grok Build CLI biztonsági rése titkosítatlan API-kulcsokat töltött fel

A Grok Build CLI biztonsági rése titkosítatlan API-kulcsokat töltött fel

Súlyos biztonsági incidens borzolta a fejlesztői közösség kedélyeit, miután fény derült az xAI Grok Build CLI eszközének kritikus hiányosságaira. Egy biztonsági kutató felfedezései szerint a parancssori eszköz rendeltetésellenes módon, a fejlesztők tudta és megfelelő szűrés nélkül töltötte fel a teljes lokális Git-tárházakat az xAI felhőalapú infrastruktúrájába. A probléma legsúlyosabb része, hogy a folyamat során a bizalmas adatok, köztük a titkosítatlan API-kulcsokat tartalmazó .env fájlok, valamint a Git commit-előzmények is kikerültek a fejlesztők saját környezetéből, ráadásul az eszköz még azokat a fájlokat is feltöltötte, amelyeket a konfigurációs fájlokban kifejezetten figyelmen kívül hagyandóként jelöltek meg.

Az ügy technikai háttere rávilágít az automatizált AI-eszközök fejlesztésével járó kockázatokra. A jelentések szerint a Grok Build nem csupán a szükséges fájlokkal dolgozott, hanem irreális mennyiségű adatot mozgatott meg: egy konkrét eset során egy 12 GB-os tárház esetében 5,1 GB-nyi adat szinkronizálását indította el olyan feladatokhoz, amelyeknél mindössze 192 KB információra lett volna szükség. Ez a kontrollálatlan adatkezelés nemcsak a biztonsági protokollokat sértette meg, hanem komoly erőforrás-pazarlást is eredményezett, miközben a fejlesztők privát szféráját is veszélyeztette. A kutatói elemzés egyértelműen bizonyította, hogy az eszköz figyelmen kívül hagyta a felhasználói utasításokat a fájlok kezelésével kapcsolatban.

A felfedezést követően az xAI haladéktalanul cselekedett: az érintett feltöltési funkciót átmenetileg letiltották, és egy új, /privacy parancs bevezetésével próbálják növelni az átláthatóságot a rendszer működésében. Elon Musk személyes ígéretet tett arra, hogy minden korábban feltöltött, jogosulatlanul kezelt adatot maradéktalanul törölnek az infrastruktúrájukból. Mindazonáltal a szakértők fokozott óvatosságra intik a felhasználókat: mindazoknak, akik a közelmúltban használták a Grok Build CLI-t, kifejezetten ajánlott lecserélniük az összes, a tárházaikban tárolt API-kulcsot, hiszen ezek az adatok már kompromittálódottnak tekinthetők. Ez az incidens intő jel a technológiai szektor számára arról, hogy az LLM-alapú fejlesztői eszközök integrációjánál a biztonsági szűrések és a hozzáférési korlátozások elengedhetetlenek az adatbiztonság megőrzése érdekében.

Eredeti forrás megtekintése (angol) →
Kapcsolódó hírek
Masayoshi Son szerint 2040-re az AI fogja kitenni a globális GDP 20%-át
most
Szűkül az OpenAI tőzsdére lépésének ablaka, és egyre több a kihívás
most
A DeepSeek állítólag 1,5 milliárd dolláros tőkebevonásra és 2027-es tőzsdei bevezetésre készül
most
Tudj meg többet
Grok: Elon Musk AI chatbotja – minden, amit tudni kell