Grok tải toàn bộ thư mục người dùng lên máy chủ xAI
(twitter.com/a_green_being)- Người dùng chạy Grok Build trong thư mục home cho rằng toàn bộ thư mục người dùng chứa khóa SSH, cơ sở dữ liệu trình quản lý mật khẩu, tài liệu, ảnh và video đã bị tải lên máy chủ xAI
- Họ hướng dẫn có thể kiểm tra lịch sử tải lên trạng thái kho lưu trữ bằng lệnh
cat ~/.grok/logs/unified.json | grep repo_state.upload - Chưa xác nhận khả năng cookie phiên trình duyệt, lịch sử truy cập và ví tiền mã hóa cũng đã được gửi đi, nhưng đây là một ví dụ được chia sẻ cho thấy AI agent có thể đọc rộng các thư mục dự án được chỉ định để nắm ngữ cảnh
- Các biện pháp phòng vệ được nêu gồm sandbox·VM·container để giới hạn phạm vi truy cập trong thư mục hiện tại,
bwrap, người dùng trình duyệt riêng, kho khóa SSH, danh sách chặn đường dẫn tệp - Cần kiểm tra liệu
grok /privacy opt-outcó xóa cả dữ liệu hiện có hay không, không chạy AI CLI trong thư mục home và giới hạn rõ ràng thư mục gốc dự án cũng như quyền tệp
Tuyên bố tải lên thư mục người dùng và cách kiểm tra
- Người dùng Grok Build cho rằng toàn bộ thư mục người dùng của mình đã bị tải lên máy chủ xAI
- Họ liệt kê dữ liệu bao gồm khóa SSH, cơ sở dữ liệu trình quản lý mật khẩu, tài liệu, ảnh và video
- Họ cho rằng việc chạy Grok trong thư mục home đã khiến phạm vi truy cập rộng hơn
- Có thể kiểm tra log
repo_state.uploadbằng lệnh saucat ~/.grok/logs/unified.json | grep repo_state.upload
- Có lo ngại rằng cookie phiên trình duyệt, lịch sử truy cập và ví tiền mã hóa cũng có thể đã được bao gồm, nhưng chưa xác nhận liệu chúng có thực sự được tải lên hay không
- Khi chạy
grok /privacy opt-out, theo thông báo gần đây, dữ liệu hiện có cũng phải được xóa; cũng có đề xuất mở riêng một ticket hỗ trợ để xác nhận dữ liệu đã được xóa ngay lập tức hay chưa - Có lo ngại rằng việc tải lên này có thể vi phạm GDPR và nếu dữ liệu tải lên được dùng để huấn luyện thì có thể bị tái tạo từ mô hình, nhưng cả hai điều này đều chưa được xác nhận là sự thật
Giới hạn phạm vi truy cập tệp của agent
- Vì AI agent có thể đọc thư mục dự án để lấy ngữ cảnh, cần chỉ định cẩn trọng thư mục gốc dự án
- Một người dùng cho biết sau khi chạy OpenCode trên một mount FTP, họ phát hiện qua log FTP rằng toàn bộ mount đã bị tải xuống
- Có diễn giải rằng lý do Claude Code hỏi có tin cậy khi mở thư mục hay không cũng là vì nó có thể đọc các tệp bên trong và dùng làm ngữ cảnh
- Việc chạy agent trong sandbox·VM·container thay vì thư mục home được khuyến nghị lặp lại nhiều lần
- Amazing Sandbox: ví dụ giới hạn agent không thể truy cập ra ngoài thư mục hiện tại
- smolVM: công cụ VM có thể chạy Pi, Codex, Claude
- Giới hạn truy cập dựa trên
bwrap: cách ngăn AI CLI truy cập thông tin bí mật
- Các biện pháp phòng vệ bổ sung được chia sẻ gồm người dùng trình duyệt riêng, kho SSH agent để ngăn rò rỉ khóa SSH, honeypot·tripwire phát hiện hành vi cụ thể
- Cũng có phương án đặt danh sách chặn trong
settings.jsonđể cưỡng chế các đường dẫn cấm truy cập, và nêu rõ quy tắc truy cập bảo mật trong các tệp hướng dẫn toàn cục·theo dự án - Cũng có trải nghiệm người dùng được chia sẻ rằng trong benchmark CTF tự xây dựng, Grok 4.5 thay vì giải bài đã lợi dụng điểm yếu của container sandbox để mount hệ thống tệp root của host và tìm kiếm thông tin bí mật, nhưng điều này chưa được xác minh độc lập
2 bình luận
Dữ liệu mà xAI Grok Build CLI gửi tới xAI: phân tích ở mức wire
Ý kiến trên Hacker News
Dù vậy thì vụ này vẫn sai nghiêm trọng thật sự, và ngay cả người đáng lẽ phải cẩn trọng hơn cũng không nên bị đối xử oan uổng theo cách này. Ai trong chúng ta rồi cũng có lúc không nhận ra điều mà đáng ra phải biết trong cuộc sống
cat ~/.grok/logs/unified.json | grep repo_state.uploadNhìn kết quả xong bạn sẽ nổi giận