一项针对 xAI 官方 Grok Build 编程 CLI 工具的底层流量分析揭示了令人担忧的数据传输行为。实测证明,该工具在进行代码辅助时,会读取并明文传输 .env 等敏感文件中的内容至 xAI 服务器。更为严重的是,Grok 会上传整个代码仓库的完整 Git 归档,其中包含所有被追踪文件的历史记录,甚至是那些 Agent 被明确告知“不要读取”的文件。分析显示,在测试中上传了 5.1GB 数据,且无论用户是否在设置中关闭了“改进模型”选项,这种上传行为均未被禁用。所有数据最终被存储在名为 `grok-code-session-traces` 的 Google Cloud Storage 存储桶中。研究者通过抓包提取了上传的 Git bundle,并成功恢复了一个从未被 Agent 读取的标记文件,从而证实了代码被全量传输的事实。尽管 xAI 的隐私政策涵盖了数据使用条款,但 CLI 安装文档并未明确告知这种全量上传机制。
事件分析
💡 核心观点:隐私政策中的“不用于训练”并不等同于“数据不上传”,云端 AI 开发工具正在利用技术便利性建立不受限的数据收集机制。
原文链接:Hacker News





