机械荟萃山庄

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 24|回复: 0

Grok大模型的CLI编程把你整个项目的代码仓库打包上传到xAI...

[复制链接]

2万

主题

3万

帖子

22万

积分

超级版主

Rank: 8Rank: 8

积分
222748
发表于 昨天 10:41 | 显示全部楼层 |阅读模式
xAI的官方Grok CLI,会在你用它写代码的时候,在你完全不知情的情况下,把你整个项目的代码仓库打包上传到xAI的云端服务器。
注意,我说的不是模型读了你的文件来回答问题这种非常正常的行为,是极度狗的开了另一条你根本看不见的通道,把你的整个代码库直接压缩成 tar.gz,然后偷偷的上传到他们自己的一个叫 gs://grok-code-session-traces 的 Google Cloud 仓库里。

而且不只是代码,会直接跨过项目库,把电脑上 Claude Code 的配置文件一起传了上去,甚至 API 密钥。
快删内容已经被删除并移除了风险。“上传仓库”更宽:它不仅包含了合规的文件和未提交的 .gitignore 文件,还包括了额外的 ~/.claude/settings_local.json、Claude 设置文件、全局 AGENTS 规则 30 多个 Skill 文件作为“上下文支持文件”上传。Java 和 Objective-C 等语言的测试文件没有在这次检测中。
重要提醒:务必检查这些上传配置是否存在“疑似隐私泄露”。只输出路径或文件名,不获取或存储任何敏感数据。

是开在终端测试时,Grok 不仅上传了合成库,还上传了你的 ~/.claude/settings_local.json;该文件包含 env: ANTHROPIC_API_KEY 字段。请查看或撤销其权限。你这里意味着了这个既有内容的内嵌 AI 进入 Grok 的机制。
Grok CLI 还擅自访问了电脑环境,并再次验证这个远程会话生成器打开过。这暗示了在后台,CLI 可能会秘密收集基于模型/插件/命令行操作,不会触发自动关闭,最后会像病毒一样传播。
Gathering system and session metadata for report

推特上有个博主发了一条帖子,说有人逆向了Grok CLI之后,发现了一个极其离谱的机制。他的原话大概是,Grok CLI会在每一轮任务开始前和结束后,各打包一次你当前工作目录的完整状态,然后静默上传到xAI控制的远端存储。
突发新闻:Grok CLI 将你的整个仓库上传至 GCS,包括未提交的 .env 密钥,12GB 仓库 · 已捕获 5.1GB,停止时仍在上传。“改进模型”开关无效,无证书锁定。网易 @cereblab gist.github.com/cereblab/dc94-a
#Grok #xAI
xAI Grok Build CLI 实际行为 —— 复现的内容 —— 基于网络流量的分析 (grok 0.2.83)
昨日 gist.github.com
上次编辑 下午6:48 · 2026年7月13日 · 427 查看

这个安全研究者cereblab,应该是第一个发现这件事的。他不仅抓了包,还做了一个复现仓库,保存了完整的网络请求记录。
但关键转折是他保存的一份7月13号的xAI服务器响应。里面同时出现了两个字段:
trace_upload_enabled 等于 false,以及一个新增的 disable_codebase_upload 等于 true。
而他最初抓包的时候,同一个0.2.93版本的客户端,收到的配置是 trace_upload_enabled 等于 true。
更关键的是,他保存了7月13日的原始 /v1/settings 响应,里面是:
trace_upload_enabled = false
disable_codebase_upload = true
而他最初抓包时,同一个 0.2.93 客户端收到的是:
trace_upload_enabled = true
客户端没有更新,二进制哈希完全一样,但行为变了。
只有一个解释:xAI通过服务端远程开关,在这个博主曝光之后,悄悄把上传功能关掉了。
7月10号,cereblab抓到默认上传行为。
7月12号晚上,另一个博主mylifcc发帖公开了同样的发现,帖子迅速传播。
7月13号凌晨,cereblab发现xAI服务端新增了 disable_codebase_upload 字段,上传被远程关闭,但是所有的配置都留下来了,后面其实也是可以无感开启。
这个操作本身就说明了一切,如果这个功能是合理的、经过用户知情同意的,你为什么要在被曝光之后偷偷关掉呢?如果你觉得没问题,你应该站出来解释说“哦这是我们的trace诊断功能,用户可以选择开启或关闭,数据仅用于XX用途”对吧。
但他们选择了静默关闸,这意味着xAI自己也清楚,这件事尼玛根本见不得光。

这个权限级,在整个IT行业的历史上,只有操作系统和杀毒软件享受过。
但操作系统有几十年的安全审计体系,杀毒软件有行业认证和监管框架。
AI Agent 有什么?什么都没有。
没有一个行业标准规定 AI Agent 必须公开它在本地读取了哪些文件,没有一个规范要求 Agent 的上传行为必须经过用户的显式同意,没有一个第三方机构在审计这些工具到底在你的电脑上干了什么。
整个行业,现在是在裸奔。
如果装了 Grok CLI,赶紧卸载。
能卸多快,就卸多快。
希望有一天,我们不再需要靠逆向二进制文件,才能知道自己的工具在背后做了什么。
























回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|Archiver|机械荟萃山庄 ( 辽ICP备16011317号-1 )

GMT+8, 2026-7-15 10:43 , Processed in 0.048687 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表