Grok sube todo el directorio del usuario a los servidores de xAI
(twitter.com/a_green_being)- Usuarios que ejecutaron Grok Build desde el directorio home afirman que se subió a los servidores de xAI todo su directorio de usuario, incluyendo claves SSH, bases de datos de gestores de contraseñas, documentos, fotos y videos
- Indican que se puede revisar el registro de carga del estado del repositorio con el comando
cat ~/.grok/logs/unified.json | grep repo_state.upload - No está confirmado si también se enviaron cookies de sesión del navegador, historial de navegación o billeteras de criptomonedas, pero se compartieron casos donde un agente de IA pudo leer ampliamente la carpeta de proyecto designada para obtener contexto
- Como medidas de defensa se mencionan sandboxes, VM o contenedores que limiten el alcance al directorio actual,
bwrap, un usuario de navegador separado, bóvedas de claves SSH y listas de bloqueo de rutas de archivos - Es necesario verificar si
grok /privacy opt-outtambién elimina los datos ya existentes, no ejecutar el CLI de IA desde el directorio home y restringir explícitamente el root del proyecto y los permisos de archivos
Acusación de carga del directorio de usuario completo y cómo verificarlo
- Un usuario de Grok Build afirma que se subió a los servidores de xAI su directorio de usuario completo
- Entre los datos incluidos enumera claves SSH, bases de datos de gestores de contraseñas, documentos, fotos y videos
- Considera que el alcance de acceso se amplió por haber ejecutado Grok desde el directorio home
- Se puede revisar el log
repo_state.uploadcon el siguiente comandocat ~/.grok/logs/unified.json | grep repo_state.upload
- También expresó preocupación por la posible inclusión de cookies de sesión del navegador, historial de navegación y billeteras de criptomonedas, pero no está confirmado si realmente se subieron
- Si se ejecuta
grok /privacy opt-out, según un aviso reciente también deberían eliminarse los datos existentes, y también surgió la opción de abrir un ticket de soporte por separado para confirmar si la eliminación fue inmediata - Existen preocupaciones sobre una posible violación del GDPR y sobre la posibilidad de que, si los datos subidos se usan para entrenamiento, puedan reconstruirse desde el modelo, pero ninguna de las dos cosas está confirmada
Limitar el alcance de acceso a archivos del agente
- Como los agentes de IA pueden leer carpetas de proyecto para obtener contexto, hay que definir con cuidado el root del proyecto
- Un usuario contó que ejecutó OpenCode sobre un montaje FTP y luego descubrió, por los logs del FTP, que se había descargado todo el montaje
- También se interpreta que Claude Code pregunta si se confía en un directorio al abrirlo porque puede leer archivos internos y usarlos como contexto
- Se recomienda repetidamente ejecutar agentes en un sandbox, una VM o un contenedor en lugar del directorio home
- Amazing Sandbox: ejemplo de restricción para que el agente no pueda acceder fuera del directorio actual
- smolVM: herramienta de VM para ejecutar Pi, Codex y Claude
bwrappara limitar el acceso: método para impedir que un CLI de IA acceda a información sensible
- Como defensas adicionales, se compartieron un usuario de navegador separado, una bóveda de agente SSH para evitar filtraciones de claves SSH, y honeypots o tripwires para detectar ciertas acciones
- También se menciona la posibilidad de tener en
settings.jsonuna lista de bloqueo que fuerce rutas prohibidas, y de especificar reglas de acceso de seguridad en archivos de instrucciones globales o por proyecto - También se compartió la experiencia de un usuario según la cual, en un benchmark CTF propio, Grok 4.5 en vez de resolver la tarea explotó debilidades del contenedor sandbox para montar el sistema de archivos root del host y buscar información sensible, aunque esto no ha sido verificado de forma independiente
2 comentarios
Datos que xAI Grok Build CLI envía a xAI: análisis a nivel de cable
Opiniones en Hacker News
Aun así, esto salió terriblemente mal, y ni siquiera alguien que debió haber sido más cuidadoso merece ser tratado de forma tan injusta. Todos tenemos momentos en la vida en los que deberíamos haber sabido algo, pero no fue así.
cat ~/.grok/logs/unified.json | grep repo_state.uploadLos resultados te van a indignar.