최근 xAI의 인공지능(AI) 에이전트인 '그록 빌드(Grok Build)'가 사용자 홈 디렉터리 전체를 xAI 서버로 업로드했다는 주장이 제기되어 파문이 일고 있습니다. 한 사용자는 그록 빌드를 홈 디렉터리에서 실행한 결과, SSH 키, 비밀번호 관리자 데이터베이스, 문서, 사진, 동영상 등 개인의 민감한 정보가 담긴 전체 디렉터리가 xAI 서버에 전송되었다고 주장했습니다. 이 문제는 AI 에이전트의 광범위한 파일 접근 권한과 그로 인한 잠재적 보안 위협에 대한 경각심을 높이고 있습니다.
해당 사용자는 `cat ~/.grok/logs/unified.json | grep repo_state.upload` 명령어를 통해 저장소 상태 업로드 기록을 확인하여 이 사실을 발견했다고 밝혔습니다. 브라우저 세션 쿠키, 방문 기록, 암호화폐 지갑까지 전송되었을 가능성도 우려되었으나, 이는 아직 확인되지 않았습니다. xAI 측은 `grok /privacy opt-out` 명령으로 기존 데이터를 삭제할 수 있다고 안내하고 있지만, 실제로 즉시 삭제되는지 여부는 추가 확인이 필요합니다. 이번 논란은 AI 에이전트가 문맥 확보를 위해 지정된 프로젝트 폴더를 넘어 광범위하게 파일을 읽을 수 있음을 보여주는 사례로, GDPR(유럽 일반 개인정보 보호법) 위반 가능성과 업로드된 데이터가 모델 학습에 사용될 경우 정보가 재구성될 수 있다는 우려도 제기되고 있습니다.
이러한 문제에 대한 방어책으로 샌드박스(Sandbox), 가상 머신(VM), 컨테이너(Container)와 같은 격리 환경에서 AI 에이전트를 실행하는 것이 강력히 권장됩니다. 또한, `bwrap`과 같은 도구를 활용하여 AI CLI(명령줄 인터페이스)가 비밀 정보에 접근하지 못하도록 막거나, 별도 브라우저 사용자 계정, SSH 키 볼트, 파일 경로 거부 목록 등을 설정하여 접근 권한을 명시적으로 제한하는 방법도 거론됩니다. 이번 사건은 AI 에이전트의 편의성 뒤에 숨겨진 잠재적 보안 위험을 명확히 보여주며, 사용자들에게 AI 도구 사용 시 보안 의식을 강화하고 접근 권한 설정에 더욱 신중을 기해야 한다는 중요한 교훈을 주고 있습니다.