2026-07-19 09:09:45
Grok Build CLI にはデータのアップロードや権限に関する複数のセキュリティリスクがあり、Slow Mist は 7 月 18 日に警告しました
Slow Mist が 7月18日に公開したセキュリティ監査によると、Grok Build CLI には複数のセキュリティ脆弱性が含まれています。チームは、リポジトリのアップロード機構が git bundle を介して .env ファイルや RSA 秘密鍵などの機密ファイルを送信できる可能性があることを発見しました。さらに、cargo check コマンドが安全な操作として誤って分類されており、これが悪意のある AGENTS.md の指示と組み合わさることで build.rs の実行につながり、リモートコード実行を可能にします。.claude/settings.json の bypassPermissions パラメータは、権限チェックを回避して制限なしでツールを実行できます。Slow Mist は、AI コーディングエージェントがプロジェクトレベルのファイルを過度に信頼すると、プロジェクトを開くだけでシェルアクセス権限が実質的に付与される点を指摘しています。