云聚 AI Token Plan 满 199 减 35 元
port:80 AI Junkie
AI 重度玩家的工程笔记本
DigitalOcean 开发者云

底层实测:Grok CLI 被曝不仅上传密钥,更会将整个代码库全量发送至云端

云聚 AI Token Plan 满 199 减 35 元

一项针对 xAI 官方 Grok Build 编程 CLI 工具的底层流量分析揭示了令人担忧的数据传输行为。实测证明,该工具在进行代码辅助时,会读取并明文传输 .env 等敏感文件中的内容至 xAI 服务器。更为严重的是,Grok 会上传整个代码仓库的完整 Git 归档,其中包含所有被追踪文件的历史记录,甚至是那些 Agent 被明确告知“不要读取”的文件。分析显示,在测试中上传了 5.1GB 数据,且无论用户是否在设置中关闭了“改进模型”选项,这种上传行为均未被禁用。所有数据最终被存储在名为 `grok-code-session-traces` 的 Google Cloud Storage 存储桶中。研究者通过抓包提取了上传的 Git bundle,并成功恢复了一个从未被 Agent 读取的标记文件,从而证实了代码被全量传输的事实。尽管 xAI 的隐私政策涵盖了数据使用条款,但 CLI 安装文档并未明确告知这种全量上传机制。

事件分析

此事件揭示了云端 AI 编程工具在隐私保护与功能实现之间的巨大落差。从技术视角看,AI Agent 确实需要上下文来理解代码结构,但“全量仓库快照”与“必要上下文”之间存在本质区别,前者将所有权与控制权完全转移给了服务提供商。这种设计实际上是将开发者的本地环境变成了云端的延伸,且缺乏透明度。特别是数据被持久化存储在 Google Cloud Storage 中,即便用于调试或日志,也带来了企业数据泄露的风险。随着 AI 编程工具的普及,行业必须重新审视“数据上传”的边界,从单纯的法律条款合规转向技术层面的“零信任”架构,即在未获明确授权前,任何字节都不应离开本地环境。

💡 核心观点:隐私政策中的“不用于训练”并不等同于“数据不上传”,云端 AI 开发工具正在利用技术便利性建立不受限的数据收集机制。

阿里云 OPC 一人公司创业装备库

原文链接:Hacker News

阿里云函数计算 一键部署 AI 大模型
赞(0)
未经允许不得转载:80aj » 底层实测:Grok CLI 被曝不仅上传密钥,更会将整个代码库全量发送至云端
赞助推荐 FoxCode Claude Code 稳定中转
阿里云函数计算 一键部署 AI 大模型

GLM Claude Code · 国产平替不封号

官方 Claude Code 又涨价又要 KYC,封号还得重配环境?智谱 GLM 兼容 Claude Code,稳定不封号、价格友好,注册后把现有 Claude Code 工作流直接切过来继续用。

立即体验 GLM查看套餐价格