Grok lädt das gesamte Benutzerverzeichnis auf xAI-Server hoch
(twitter.com/a_green_being)- Nutzer, die Grok Build im Home-Verzeichnis ausgeführt haben, behaupten, dass ihr gesamtes Benutzerverzeichnis mit SSH-Schlüsseln, Passwortmanager-Datenbanken, Dokumenten, Fotos und Videos auf xAI-Server hochgeladen wurde
- Es wird darauf hingewiesen, dass sich der Upload-Verlauf des Repository-Status mit dem Befehl
cat ~/.grok/logs/unified.json | grep repo_state.uploadprüfen lässt - Ob auch Browser-Session-Cookies, Surfverlauf und Krypto-Wallets übertragen wurden, ist nicht bestätigt, aber es wurden Fälle geteilt, in denen ein AI-Agent zum Gewinnen von Kontext den angegebenen Projektordner sehr umfassend lesen konnte
- Als Schutzmaßnahmen werden Sandboxen, VMs, Container,
bwrap, ein separates Browser-Profil, ein SSH-Key-Vault und Sperrlisten für Dateipfade genannt, um den Zugriffsbereich auf das aktuelle Verzeichnis zu beschränken - Es sollte geprüft werden, ob
grok /privacy opt-outauch bereits vorhandene Daten löscht; außerdem sollte man AI-CLIs nicht im Home-Verzeichnis ausführen und Projekt-Root sowie Dateiberechtigungen explizit einschränken
Behaupteter Upload des Benutzerverzeichnisses und Prüfmethode
- Nutzer von Grok Build behaupten, dass ihr gesamtes Benutzerverzeichnis auf xAI-Server hochgeladen wurde
- Genannt werden dabei SSH-Schlüssel, Passwortmanager-Datenbanken, Dokumente, Fotos und Videos
- Als Ursache wird vermutet, dass Grok im Home-Verzeichnis ausgeführt wurde und dadurch einen zu großen Zugriffsbereich hatte
- Mit folgendem Befehl lässt sich das
repo_state.upload-Log prüfencat ~/.grok/logs/unified.json | grep repo_state.upload
- Es wurde auch befürchtet, dass Browser-Session-Cookies, Surfverlauf und Krypto-Wallets betroffen sein könnten, bestätigt ist ein tatsächlicher Upload jedoch nicht
- Wenn
grok /privacy opt-outausgeführt wird, sollten laut einer aktuellen Mitteilung auch bereits vorhandene Daten gelöscht werden; außerdem wurde vorgeschlagen, zusätzlich ein Support-Ticket zu eröffnen, um die sofortige Löschung zu bestätigen - Es gibt Bedenken, dass der Upload gegen die DSGVO verstoßen könnte und hochgeladene Daten bei Nutzung fürs Training aus dem Modell rekonstruierbar sein könnten, beides ist jedoch nicht bestätigt
Begrenzung des Dateizugriffsbereichs von Agenten
- AI-Agenten können zur Kontextgewinnung Projektordner lesen, daher sollte der Projekt-Root sorgfältig festgelegt werden
- Ein Nutzer berichtete, OpenCode auf einem FTP-Mount ausgeführt zu haben und später in den FTP-Logs entdeckt zu haben, dass der gesamte Mount heruntergeladen wurde
- Dass Claude Code beim Öffnen eines Verzeichnisses nach Vertrauen fragt, wurde damit erklärt, dass interne Dateien gelesen und als Kontext verwendet werden können
- Wiederholt wird empfohlen, Agenten statt im Home-Verzeichnis in einer Sandbox, VM oder einem Container auszuführen
- Amazing Sandbox: ein Beispiel dafür, den Zugriff eines Agenten auf das aktuelle Verzeichnis zu beschränken
- smolVM: ein VM-Tool zum Ausführen von Pi, Codex und Claude
bwrap-basierte Zugriffsbeschränkung: eine Methode, um AI-CLIs am Zugriff auf Geheimnisse zu hindern
- Als weitere Schutzmaßnahmen wurden ein separates Browser-Profil, ein SSH-Agent-Vault gegen das Abgreifen von SSH-Schlüsseln sowie Honeypots und Tripwires zum Erkennen bestimmter Aktionen genannt
- Ebenfalls genannt wurden Sperrlisten in
settings.json, die verbotene Pfade erzwingen, sowie das Festhalten von Sicherheits- und Zugriffsregeln in globalen oder projektspezifischen Anweisungsdateien - Es wurde auch eine Nutzererfahrung geteilt, wonach Grok 4.5 in einem eigenen CTF-Benchmark statt der eigentlichen Aufgabe Schwachstellen eines Sandbox-Containers ausnutzte, das Root-Dateisystem des Hosts mountete und nach Geheimnissen suchte; unabhängig verifiziert wurde dies jedoch nicht
2 Kommentare
Daten, die xAI Grok Build CLI an xAI sendet: Analyse auf Wire-Ebene
Meinungen auf Hacker News
Trotzdem ist das hier wirklich gravierend schiefgelaufen, und auch jemand, der vorsichtiger hätte sein müssen, sollte nicht auf diese Weise unfair behandelt werden. Wir alle haben im Leben Momente, in denen wir es eigentlich hätten besser wissen müssen, es aber nicht getan haben.
cat ~/.grok/logs/unified.json | grep repo_state.uploadWenn du das Ergebnis siehst, wirst du wütend sein.