---
title: آپلود مخفیانه کدهای برنامه‌نویسان توسط ابزار هوش مصنوعی گراک
date: 2026-07-12T14:36:05Z
modified: 2026-07-12T14:36:07Z
permalink: "https://nooshdaroo.ir/safe-ecommerce-selling/grok-cli-source-code-upload-vulnerability/"
type: post
status: publish
excerpt: ""
wpid: 14832
categories:
  - کسب‌وکار آنلاین
  - حریم خصوصی
  - خبر و تحلیل
tags:
  - امنیت سایبری
  - برنامه‌نویسی
  - هوش مصنوعی
author:
  - Hooshyar
  - ZiaeiShayan
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/grok-cli-source-code-upload-vulnerability.webp"
featured_image_alt: بازوی رباتیکی که از میان لوگوی سه‌بعدی و فلزی هوش مصنوعی گراک خارج شده و در حال لمس کدهای یک پنجره برنامه‌نویسی است.
---

تحلیل‌های امنیتی اخیر نشان می‌دهند ابزار رسمی کدنویسی شرکت xAI، کدهای پروژه‌ها را همراه با تاریخچه کامل آن‌ها به سرورهای ابری ارسال می‌کند. این رفتار که حتی با تغییر تنظیمات حریم خصوصی نیز متوقف نمی‌شود، باعث نگرانی بخشی از جامعه توسعه‌دهندگان و پژوهشگران امنیت شده است.

## ارسال گسترده اطلاعات پروژه 

یک پژوهشگر امنیت سایبری با بررسی دقیق ترافیک شبکه‌ی ابزار خط فرمان گراک (Grok Build CLI)، متوجه رفتار غیرمنتظره این دستیار هوشمند شده است. این نرم‌افزار به جای آنکه فقط کدهای مورد نیاز برای رفع یک خطای برنامه‌نویسی را بررسی کند، فایل‌های تغییریافته پروژه به همراه تاریخچه گیت (Git) را برای سرورهای xAI آماده و ارسال می‌کند.

اگرچه ارتباط با سرور از طریق پروتکل‌های امن `HTTPS` انجام می‌شود، در داده‌ی ارسالی، محتوای فایل‌های پیکربندی مانند `.env` به‌صورت متن ساده‌ی بدون رمزگذاری قرار دارد. این فایل‌ها معمولاً حاوی اطلاعات حساسی مانند رمزهای عبور، کلیدهای امنیتی و توکن‌های دسترسی هستند. آزمایش‌های عملی نشان می‌دهند حتی اگر کاربر در پرامپت خود صراحتاً از مدل بخواهد برخی فایل‌ها را نخواند، ابزار گراک همچنان اطلاعات پروژه را در مرحله آماده‌سازی درخواست ارسال می‌کند.

#### همچنین می‌توانید بیشتر بخوانید:

  [ ![دکمه Delete روی کیبورد یک کامپیوتر، نمادی از پاکسازی داده‌ها](https://nooshdaroo.ir/wp-content/uploads/2026/04/nooshdaroo_69f078f769d5c.webp) ](https://nooshdaroo.ir/safe-ecommerce-selling/coding-agent-deletes-entire-company-database/) 

 

#####  [فاجعه در ۹ ثانیه: هوش مصنوعی کل داده‌های یک شرکت را نابود کرد](https://nooshdaroo.ir/safe-ecommerce-selling/coding-agent-deletes-entire-company-database/) 

 

 

   [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/05/nooshdaroo_69fc81e321d4a.webp) ](https://nooshdaroo.ir/news-opinion/google-gemini-mac-agentic-assistant/) 

 

#####  [جمنای روی مک؛ راحتی بیشتر، دسترسی عمیق‌تر، نگرانی‌های تازه‌تر!](https://nooshdaroo.ir/news-opinion/google-gemini-mac-agentic-assistant/) 

 

 

  

## بی‌تأثیر بودن تنظیمات حریم خصوصی

نکته قابل تأمل این است که راهکار مستقیمی برای توقف این روند در داخل نرم‌افزار وجود ندارد. اگرچه گزینه‌ای با عنوان بهبود مدل (Improve the model) در تنظیمات گراک طراحی شده است، بررسی ترافیک خروجی نشان می‌دهد که با خاموش کردن آن، فایل‌ها و داده‌های محرمانه کاربران همچنان به سرورهای xAI ارسال می‌شوند. تا زمان انتشار این گزارش، شرکت xAI واکنش رسمی به این ادعاها منتشر نکرده است.

## راهکار موقت توسعه‌دهندگان

متخصصان امنیت و توسعه‌دهندگان در انجمن‌های تخصصی پیشنهاد کرده‌اند که تا زمان شفاف‌سازی و رفع این مشکل، از اجرای مستقیم این ابزار خودداری شود. در صورت نیاز مبرم به استفاده از آن، بهترین راهکار این است که نرم‌افزار در یک سندباکس[1](#e3a67fc5-a7b5-4823-abe9-7330204349bf) اجرا شود.

## به یاد داشته باشید که…

مرز میان یک دستیار برنامه‌نویسی کارآمد و ابزاری که حریم خصوصی را به خطر می‌اندازد، بسیار باریک است. جمع‌آوری پنهانی اطلاعات توسط ابزار گراک بار دیگر اهمیت محدود کردن دسترسی ابزارهای هوش مصنوعی به داده‌های حساس را یادآوری می‌کند؛ چرا که افشای این داده‌ها می‌تواند امنیت زیرساخت‌ها را با تهدیدهای جدی مواجه کند.

1. سندباکس (Sandbox) به محیطی کاملاً ایمن و محدود در سیستم‌عامل گفته می‌شود که ارتباط برنامه را با سایر فایل‌های حیاتی سیستم و شبکه اصلی قطع می‌کند تا امکان نشت اطلاعات ناخواسته وجود نداشته باشد. [↩︎](#e3a67fc5-a7b5-4823-abe9-7330204349bf-link)