xAI Grok Build CLI 网络流量分析:上传仓库全部文件及 git 历史

安全研究员通过抓包分析发现,xAI 的官方编码 CLI 工具 Grok Build 在用户登录后,不仅会读取并上传用户指定的文件内容,还会将整个 Git 仓库(包含所有文件与完整提交历史)默认上传至 xAI 的云存储,且关闭“改进模型”开关无效。

xAI Grok Build CLI 网络流量分析:上传仓库全部文件及 git 历史

一句话看懂:安全研究员通过抓包分析发现,xAI 的官方编码 CLI 工具 Grok Build 在用户登录后,不仅会读取并上传用户指定的文件内容,还会将整个 Git 仓库(包含所有文件与完整提交历史)默认上传至 xAI 的云存储,且关闭“改进模型”开关无效。

事件核心:发生了什么

2025 年 7 月,一位安全研究员对 xAI 发布的命令行工具 grok 0.2.93 (macOS ARM 版本) 进行了网络流量抓包分析。研究者在独立测试机上使用一次性“金丝雀”仓库(内含伪造的 .env 密钥文件),通过 mitmproxy 拦截并记录了所有请求。结果发现:

  • Grok 将读取的 每个文件原文(包括 .env 密钥文件中的明文密码)通过 POST /v1/responses 接口发送给 xAI 模型端点。
  • 同时,Grok 的 POST /v1/storage 接口会将整个工作区打包为 Git bundle 上传到 Google Cloud Storage 桶 grok-code-session-traces,即使被告知“不要读取任何文件”,该包仍包含完整的 git 历史和被明令禁止访问的文件。
  • 在一个 12 GB 的随机测试仓库中,存储端点传输了 5.10 GiB 数据(全为 HTTP 200 成功),而模型交互端点仅传输 192 KB——约 27,800 倍 的流量差距,证明上传行为与模型“阅读”何种文件无关。
  • 在用户设置中 关闭“改进模型”选项 后,抓包确认 /v1/settings 仍然返回 trace_upload_enabled: true,即该机制默认开启且无法通过 UI 关闭。

为什么重要

这一发现暴露了 AI 开发工具在企业级使用中的关键隐私与安全风险。虽然 xAI 尚未声明是否会利用这些数据进行训练,但事实是:用户代码仓库的所有内容(包括 .env、密钥、业务逻辑)会被完整、未脱敏地传输并存储在第三方云存储中。对于任何涉及敏感代码或客户数据的开发者、企业团队而言,使用该工具可能意味着无意中将整个 Git 历史(包含已删除的敏感记录)外泄。这一行为属于默认启用且不可被用户简单关闭,极可能违反《通用数据保护条例》(GDPR)或 SOC 2 等合规要求。

对用户/开发者/创作者的影响

对于使用 xAI Grok Build CLI 的开发者:目前没有任何用户能通过设置页阻止代码上传。建议立即停止在包含生产环境密钥、客户数据或商业机密的仓库中使用该 CLI。如果确有使用需求,应考虑在独立、无敏感内容的沙箱环境中运行,或在网络层进行过滤。对于企业采购负责人:在评估 Grok 或其他 AI 编码助手时,必须要求供应商提供明确的 数据传输和存储政策,并支持本地离线模式。对于普通用户:即便是个人项目中的 API key 和数据库密码,也会完整暴露,建议不要在任何使用 Grok 的目录中存放凭据。

GamsGo AI

AI 工具推荐

想把多个 AI 模型放在一个入口?

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。

值得关注的后续

1. xAI 官方回应与产品更新: xAI 是否会在下一版本中提供真正的“数据控制”开关或允许用户选择不上传仓库历史?时间线如何?
2. 竞品对比与行业冲击: GitHub Copilot、Amazon CodeWhisperer 等竞品是否存在类似默认上传完整仓库的行为?对比分析将决定开发者对 AI 编码工具的信任度。
3. 监管层面的介入: 该发现已引发 Hacker News 热帖讨论。如果 xAI 无法证明数据仅用于临时处理并不保留训练,可能触发 FTC 或欧盟数据保护机构对“默认上传全部代码”的商业惯例进行审查。

来源:Hacker News 热门(buzzing.cc 中文翻译)

celebrityanime
celebrityanime
文章: 12729

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注