Slow Mist découvre plusieurs risques de sécurité dans le CLI de Grok Build le 18 juillet

D’après Slow Mist, le 18 juillet, l’équipe sécurité a découvert plusieurs vulnérabilités dans Grok Build CLI. L’audit a révélé que cargo check est classée de manière incorrecte comme une commande sûre, ce qui, combiné à des instructions malveillantes dans AGENTS.md, peut déclencher l’exécution de build.rs pour une exécution de code à distance. En outre, bypassPermissions dans .claude/settings.json peut contourner les contrôles de permissions pour permettre l’exécution des outils sans restriction. La CLI hérite du modèle de permissions de Claude Code CLI, ce qui introduit des risques similaires, tandis que .mcp.json, via la configuration MCP, ajoute une surface d’attaque supplémentaire.
Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire