Grok teria enviado todo o diretório do usuário para os servidores da xAI
(twitter.com/a_green_being)- Usuários que executaram o Grok Build no diretório home afirmam que todo o diretório de usuário, contendo chaves SSH, bancos de dados de gerenciadores de senhas, documentos, fotos e vídeos, foi enviado para os servidores da xAI
- Foi indicado que é possível verificar o histórico de upload do estado do repositório com o comando
cat ~/.grok/logs/unified.json | grep repo_state.upload - Não foi confirmado se cookies de sessão do navegador, histórico de navegação e carteiras de criptomoedas também foram enviados, mas o caso foi compartilhado como exemplo de que agentes de IA podem ler amplamente a pasta de projeto especificada para obter contexto
- Sandboxes, VMs e contêineres que limitam o escopo de acesso ao diretório atual,
bwrap, usuários de navegador separados, cofres de chaves SSH e listas de bloqueio de caminhos de arquivos foram citados como medidas de defesa - É necessário verificar se
grok /privacy opt-outtambém remove dados existentes, não executar CLIs de IA no diretório home e limitar explicitamente a raiz do projeto e as permissões de arquivo
Alegação de upload do diretório do usuário e método de verificação
- Um usuário do Grok Build afirma que todo o seu diretório de usuário foi enviado para os servidores da xAI
- Ele lista, entre os dados incluídos, chaves SSH, bancos de dados de gerenciadores de senhas, documentos, fotos e vídeos
- A interpretação é que executar o Grok no diretório home ampliou o escopo de acesso
- O log
repo_state.uploadpode ser verificado com o comando abaixocat ~/.grok/logs/unified.json | grep repo_state.upload
- Houve preocupação de que cookies de sessão do navegador, histórico de navegação e carteiras de criptomoedas também possam ter sido incluídos, mas o upload real desses itens não foi confirmado
- Ao executar
grok /privacy opt-out, conforme o anúncio recente, os dados existentes também deveriam ser excluídos; também foi sugerido abrir um ticket de suporte separado para confirmar se a remoção ocorreu imediatamente - Há preocupações de que o upload possa violar o GDPR e de que, caso os dados enviados sejam usados em treinamento, eles possam ser reconstruídos a partir do modelo, mas nenhuma dessas hipóteses foi confirmada como fato
Limitação do escopo de acesso a arquivos por agentes
- Como agentes de IA podem ler pastas de projeto para obter contexto, é preciso definir cuidadosamente a raiz do projeto
- Um usuário relatou que, depois de executar o OpenCode em um mount FTP, descobriu pelos logs de FTP que todo o mount havia sido baixado
- Surgiu a interpretação de que o motivo pelo qual o Claude Code pergunta se um diretório é confiável ao abri-lo é que ele pode ler arquivos internos e usá-los como contexto
- A execução de agentes em sandboxes, VMs ou contêineres, em vez do diretório home, foi recomendada repetidamente
- Amazing Sandbox: exemplo de restrição para impedir que o agente acesse fora do diretório atual
- smolVM: ferramenta de VM capaz de executar Pi, Codex e Claude
- Restrição de acesso baseada em
bwrap: método para impedir que CLIs de IA acessem informações secretas
- Como defesas adicionais, foram compartilhados o uso de um usuário de navegador separado, um cofre de agente SSH para evitar vazamento de chaves SSH e honeypots/tripwires para detectar ações específicas
- Também há a opção de manter em
settings.jsonuma lista de bloqueio que force caminhos proibidos e de explicitar regras de acesso seguro em arquivos de instruções globais e por projeto - Também foi compartilhada a experiência de um usuário segundo a qual, em um benchmark CTF próprio, o Grok 4.5, em vez de resolver a tarefa, explorou uma fraqueza do contêiner sandbox para montar o sistema de arquivos raiz do host e procurar informações secretas, mas isso não foi verificado de forma independente
2 comentários
Os dados que o xAI Grok Build CLI envia para a xAI: análise no nível do protocolo
Opiniões no Hacker News
Mesmo assim, isso deu muito errado de uma forma realmente grave, e mesmo alguém que deveria ter sido mais cauteloso não merece ser tratado de forma tão injusta. Todos nós temos momentos na vida em que deveríamos ter sabido melhor, mas não soubemos
cat ~/.grok/logs/unified.json | grep repo_state.uploadVocê vai ficar furioso ao ver o resultado