近日,一名开发者用户在社交媒体平台 X(原 Twitter)上曝光了关于 xAI 旗下命令行工具 Grok CLI 的严重安全隐患。据用户 @XBToshi 描述,在使用该工具时,Grok CLI 意外地将其电脑上的整个用户主目录(Home Directory)进行了上传。该目录包含了大量高度敏感的个人隐私与开发数据,具体涉及 SSH 私钥、密码管理器数据库、个人文档、照片、视频以及所有存储在该目录下的文件。据悉,这些数据被直接传输到了 xAI 的服务器端,相关讨论中也指向了 Google Cloud Storage(GCS)存储桶。此事件在 Hacker News 等技术社区引发了剧烈震动。Grok CLI 本是 xAI 推出的旨在提升开发者效率的 AI 编程辅助工具,但此次事故暴露了其在文件处理逻辑和权限控制机制上的重大缺陷。由于 CLI 工具通常运行在拥有较高系统权限的环境中,此类未经授权的全量数据传输行为不仅造成了极大的隐私泄露风险,更可能导致用户的服务器被未授权访问。
事件分析
💡 核心观点:边界失控将成 AI 本地化工具的最大隐患,强沙箱隔离与显式授权机制是 AI 代理安全落地的必修课。
原文链接:Hacker News





