Grok Build 에이전트, 홈 디렉토리 전체를 xAI 서버로 업로드해 SSH 키·비밀번호 DB 유출 논란
- Grok Build 코딩 에이전트가 사용자의 홈 디렉토리 전체를 xAI 서버로 업로드한 사실이 로그 파일(~/.grok/logs/unified.json)에서 발견됨
- 업로드된 데이터에는 SSH 키, 비밀번호 관리자 데이터베이스, 문서, 사진, 영상 등 개인 파일이 모두 포함됨
- 원 게시자는 홈 디렉토리에서 Grok Build를 실행했고, 별도의 업로드 차단 설정이 존재하지 않아 자동으로 전체 디렉토리가 전송됨
- 한 댓글은 로그에 "repo_state.upload.enqueued" 항목이 없으면 업로드가 완료되지 않았을 수 있다고 지적함
- HN 토론에서는 AI 코딩 에이전트가 요청한 파일뿐 아니라 접근 가능한 모든 파일을 암호화 없이 전송할 수 있다는 점이 지적되며, 대응책으로 VM 격리나 oh-my-pi-plugin-grok-build 같은 서드파티 프록시 플러그인이 언급됨
Hacker News opinions
"leopards ate my face" 느낌이지. 얘가 세상에서 제일 나쁜 놈 같으니까 얘 LLM을 내 컴퓨터에서 전권으로 돌렸다는 소리잖아. 그래도 이건 진짜 심각한 문제고, 알고도 당한 사람이라고 막 대해도 되는 건 아님.
TLDR하면 홈 디렉토리에서 그록 돌렸는데 에이전트가 폴더 내용을 읽은 걸 보고 놀란 거임. 근데 흥미로운 건 프로젝트 폴더 안에 있는 키는 일부러 첫 부분만 읽게 해놨는데 그건 안 건드렸더라.
단순히 원하는 파일만 읽은 게 아니라 디렉토리 전체를 업로드했다는 게 핵심이야. "Grok Build를 실행할 때마다 코드베이스 전체가 암호화도 안 된 채로 네 컴퓨터를 빠져나간다, 요청한 파일뿐만 아니라"는 얘기가 있고 이걸 막는 설정도 안 보인대.
솔직히 이건 root에서 rm -rf 돌리는 것보다 더 나쁜 거 같아. 데이터가 사라지는 게 아니라 유출되는 거니까, SSH 키로 다른 서버까지 뚫릴 수 있잖아.
AI 에이전트는 기본적으로 접근 가능한 건 다 읽는다고 가정해야 함. 특정 서브디렉토리로 제한해놔도 그 가정은 유지해야 함. Claude도 ~/.bash_history 읽고 그 안의 커맨드를 그대로 써먹더라.
원격 추론 쓰는 AI 에이전트한테 뭘 기대한 거야, 코드베이스 전체를 컨텍스트에 넣는 게 원래 그런 거 아냐?
그건 좀 아니지, 실제로 필요한 것만 컨텍스트에 넣는 게 맞음. .env 파일 같은 건 애초에 필요 없잖아.
이래서 다들 VM 안에서 이런 툴 돌리는 거야. curl로 스크립트 받아서 그대로 bash에 파이프하면 다들 미친놈이라고 했을 텐데, 이런 에이전트들은 왜 그렇게 쉽게 받아들여지는지 아직도 이해가 안 됨.
머스크가 이런 짓을 해서, 개인 저장소랑 시크릿 키를 xAI에 안 보내는 자체 엔드포인트로 grok build 쓸 수 있게 oh-my-pi-plugin-grok-build라는 플러그인을 만들었어. 스파이웨어 싫으면 써봐.
md 파일에 접근 제한 적어놔도 지켜질 보장이 전혀 없어. 그런 지시문은 하나의 제안일 뿐이고, 실제로 보장받으려면 진짜 샌드박스 말곤 방법이 없음.