7.9
深览指数
通用腾讯新闻·数字生命卡兹克··AI 生成

我只让Grok回复一个单词,它就把我整个代码库都偷走了

本文作者发现xAI的Grok CLI工具存在严重隐私安全问题:该工具会在用户不知情的情况下,将整个代码仓库打包上传至xAI的云端服务器,且上传范围远超当前目录,会扫描并上传其他AI工具的配置文件及API密钥。作者通过逆向二进制文件和服务端响应验证了该行为,并指出xAI在被曝光后通过远程开关悄悄关闭了该功能。文章揭示了AI Agent工具在获取高权限后缺乏行业监管的现状。原文 ↗

核心观点
  • xAI的Grok CLI会在用户不知情的情况下,通过独立于模型请求的旁路通道,将整个代码仓库打包上传至云端。这不仅超出当前项目范围,还会收集其他工具的配置文件和API密钥。
  1. 01作者通过逆向npm包@xai-official/grok(版本0.2.93)的二进制文件,发现其中包含repo_state.upload、before_codebase、after_codebase.tar.gz、gs://grok-code-session-traces等完整的上传管线代码。
  2. 02作者在隔离测试仓库中仅让模型回复一个单词,手动开启上传开关后,Grok CLI成功上传了before_codebase.tar.gz和after_codebase.tar.gz,以及会话状态、配置和日志。
  3. 03上传包中包含~/.claude.json、Claude Code设置文件、全局AGENTS规则、30多个Skill文件等,覆盖了其他工具的敏感配置,甚至包括一个API密钥(MIAODA_API_KEY)。
  4. 04安全研究者cereblab在7月13日捕获的服务端响应显示,xAI在曝光后新增了disable_codebase_upload字段并远程关闭了上传功能,而同一客户端版本之前的行为是默认上传。
  5. 05时间线:7月10日cereblab发现默认上传;7月12日博主mylifcc公开;7月13日凌晨xAI远程关闭上传。
反方 / 局限
  • 作者承认,他的测试中默认配置是「遥测开启,但代码快照上传关闭」,手动打开开关后才触发上传。但指出另一安全研究者在更早时间戳下的测试中,该功能是默认开启的,说明xAI存在静默变动。
  • 文章仅从用户隐私角度批判,未讨论「trace诊断」是否有合法用例(如改进模型响应质量),也未提及xAI是否在服务条款中声明了此类数据收集行为。
10 分钟 · 5 卡片 · 15 资料
读原文 →

概念锚点

前置背景

平行视角

未来推演

延伸追问