Компания xAI опубликовала исходный код утилиты командной строки Grok после того, как сообщество обнаружило критическую уязвимость в логике работы инструмента. Ранее выполнение команды в директории приводило к автоматической загрузке всех содержащихся в ней файлов, включая конфиденциальные данные, в облачное хранилище Google Cloud, что вызвало массовое недовольство пользователей и угрозы безопасности.
Инцидент произошел из-за агрессивного поведения скрипта, который по умолчанию сканировал и отправлял на серверы компании содержимое всей рабочей папки. Пользователи сообщали, что при запуске утилиты в корневом каталоге системы в облако уходили SSH-ключи, базы данных менеджеров паролей, личные документы и медиафайлы. После волны критики разработчики были вынуждены экстренно изменить архитектуру инструмента и открыть его код для публичного аудита.
Открытие исходного кода позволяет сообществу самостоятельно проверить механизмы обработки данных и убедиться в отсутствии скрытых функций передачи файлов. Этот случай стал наглядным примером рисков, связанных с использованием инструментов автоматизации, которые не имеют прозрачных настроек области действия и не запрашивают явного подтверждения перед передачей данных во внешние облачные инфраструктуры.
Ключевые факты
- Утилита Grok CLI автоматически загружала содержимое всей директории в облачные хранилища Google Cloud без должной фильтрации.
- Среди скомпрометированных данных пользователей оказались SSH-ключи, базы паролей и личные документы.
- xAI опубликовала исходный код проекта на GitHub для обеспечения прозрачности и возможности исправления ошибок сообществом.
- Инцидент вызвал резкую реакцию в профессиональном сообществе из-за нарушения базовых принципов безопасности при работе с локальными файловыми системами.