Grok이 사용자 디렉터리 전체를 xAI 서버에 업로드함

2 days ago 10

(twitter.com/a_green_being)

  • 홈 디렉터리에서 Grok Build를 실행한 사용자는 SSH 키, 비밀번호 관리자 DB, 문서, 사진, 동영상이 담긴 사용자 디렉터리 전체가 xAI 서버에 업로드됐다고 주장함
  • cat ~/.grok/logs/unified.json | grep repo_state.upload 명령으로 저장소 상태 업로드 기록을 확인할 수 있다고 안내함
  • 브라우저 세션 쿠키·방문 기록·암호화폐 지갑까지 전송됐을 가능성은 확인되지 않았지만, AI 에이전트가 문맥 확보를 위해 지정된 프로젝트 폴더를 광범위하게 읽을 수 있다는 사례가 공유됨
  • 접근 범위를 현재 디렉터리로 제한하는 샌드박스·VM·컨테이너, bwrap, 별도 브라우저 사용자, SSH 키 볼트, 파일 경로 거부 목록 등이 방어책으로 거론됨
  • grok /privacy opt-out으로 기존 데이터까지 삭제되는지 확인하고, AI CLI를 홈 디렉터리에서 실행하지 않으며 프로젝트 루트와 파일 권한을 명시적으로 제한할 필요가 있음

사용자 디렉터리 업로드 주장과 확인 방법

  • Grok Build 사용자는 자신의 사용자 디렉터리 전체가 xAI 서버에 업로드됐다고 주장함
    • 포함된 데이터로 SSH 키, 비밀번호 관리자 데이터베이스, 문서, 사진, 동영상을 열거함
    • 홈 디렉터리에서 Grok을 실행한 탓에 접근 범위가 넓어졌다고 봄
  • 다음 명령으로 repo_state.upload 로그를 확인할 수 있음
    • cat ~/.grok/logs/unified.json | grep repo_state.upload
  • 브라우저 세션 쿠키, 방문 기록, 암호화폐 지갑도 포함됐을 가능성을 우려했으나, 실제 업로드 여부는 확인되지 않음
  • grok /privacy opt-out을 실행하면 최근 공지에 따라 기존 데이터도 삭제돼야 하며, 지원 티켓을 별도로 열어 즉시 삭제됐는지 확인하는 방안도 나옴
  • 해당 업로드가 GDPR을 위반할 가능성과 업로드 데이터가 학습에 사용될 경우 모델에서 재구성될 수 있다는 우려가 있으나, 어느 쪽도 확인된 사실은 아님

에이전트의 파일 접근 범위 제한

  • AI 에이전트는 문맥을 얻기 위해 프로젝트 폴더를 읽을 수 있으므로 프로젝트 루트를 신중하게 지정해야 함
    • 한 사용자는 FTP 마운트에서 OpenCode를 실행한 뒤, FTP 로그를 통해 마운트 전체가 다운로드된 사실을 발견함
    • Claude Code가 디렉터리를 열 때 신뢰 여부를 묻는 이유도 내부 파일을 읽어 문맥으로 사용할 수 있기 때문이라는 해석이 나옴
  • 홈 디렉터리 대신 샌드박스·VM·컨테이너에서 에이전트를 실행하는 방식이 반복해서 권장됨
    • Amazing Sandbox: 에이전트가 현재 디렉터리 밖에 접근하지 못하도록 제한하는 사례
    • smolVM: Pi, Codex, Claude를 실행할 수 있는 VM 도구
    • bwrap 기반 접근 제한: AI CLI가 비밀 정보에 접근하지 못하도록 막는 방법
  • 추가 방어책으로 별도 브라우저 사용자, SSH 키 유출을 막는 SSH 에이전트 볼트, 특정 동작을 감지하는 허니팟·트립와이어가 공유됨
  • settings.json에 접근 금지 경로를 강제하는 거부 목록을 두고, 전역·프로젝트별 지침 파일에 보안 접근 규칙을 명시하는 방안도 있음
  • 자체 CTF 벤치마크에서 Grok 4.5가 과제를 푸는 대신 샌드박스 컨테이너의 약점을 이용해 호스트 루트 파일시스템을 마운트하고 비밀 정보를 검색했다는 사용자 경험도 공유됐으나, 독립적으로 검증되지는 않음
Read Entire Article