Grok Build a încărcat codul utilizatorilor în cloud, Elon Musk anunță ștergerea datelor

0
1
grok-build-a-incarcat-codul-complet-al-utilizatorilor-in-cloud.-elon-musk-promite-stergerea-datelor
Grok Build a încărcat codul complet al utilizatorilor în cloud. Elon Musk promite ștergerea datelor

Un cercetător independent a descoperit că versiunea 0.2.93 a aplicației Grok Build CLI trimitea întregul proiect către serverele companiei, inclusiv istoricul complet al modificărilor din repository. Analiza traficului de rețea a relevat că fișierele trimise conțineau atât codul proiectului, cât și date din istoric, chiar și informații sensibile, precum parole sau API keys, dacă acestea se aflau în fișierele urmărite.

Transmiterea întregului proiect, nu doar fișierele citite

Cercetătorul cereblab a demonstrat că aplicația crea automat un pachet cu întregul repository urmărit prin Git. În cadrul testelor, a fost recuperat inclusiv un fișier destinat să nu fie deschis, ceea ce indică faptul că aplicația transmitea date din toate fișierele arhivate, indiferent de instrucțiunile utilizatorului.

Informațiile din istoricul Git conțineau versiuni anterioare ale fișierelor, inclusiv parole eliminate din versiunea curentă. Aceasta înseamnă că, dacă se ștergea o parolă, ea ar fi rămas încă stocată în istoricul de versiune, devenind vulnerabilă.

Setările de confidențialitate nu opreau transferul datelor

Grok Build oferea o opțiune pentru utilizatori de a refuza păstrarea datelor pentru antrenarea modelelor AI. Cu toate acestea, raportul arată că dezactivarea acestei funcții nu oprea trimiterea repository-ului către cloud.

Comanda /privacy funcționa la nivelul unei sesiuni și nu controla complet transferul de date. Transferul putea continua în ciuda dezactivării setărilor, iar schimbarea nu era controlată automat, fiind posibilă doar prin modificarea manuală a configurației.

Ulterior publicării raportului, serverele companiei au trimis o comandă pentru a dezactiva încărcarea codului sursă, disable_codebase_upload: true. Cercetătorul a reluat testele și nu a mai observat preluarea arhivei, indicând că schimbarea a fost realizată de la distanță, fără a solicita utilizatorilor să instaleze o versiune nouă.

Riscurile dezvăluirii întregului cod sursă

Proiectele software nu conțin doar informații despre funcționare, ci și detalii despre arhitectura infrastructurii, serviciile folosite și metodele de autentificare. În cazul în care codul sursă nu este protejat, poate dezvălui vulnerabilități, date personale sau informații despre produse nepublicate oficial.

Dezvăluirea completă a codului și a istoricului său poate expune infrastructura internă a companiei, precum și eventuale breșe de securitate. Aceste riscuri pot avea implicații majore asupra securității și integrității sistemelor.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.