安全研究人员发现,xAI 推出的开发者工具 Grok Build CLI 存在未经授权上传用户代码的行为。通过拦截代理分析显示,该工具会将用户本地的整个 Git 仓库,包括完整的版本历史记录,打包上传至 xAI 托管的 Google Cloud 存储桶中。测试数据显示,在一个 12GB 的代码库项目中,虽然模型实际处理任务仅产生了 192KB 的流量,但后台静默上传的数据量却高达 5.1GB。更严重的是,工具内包含的“改进模型”开关并未起到禁用上传的作用,即便用户关闭该选项,上传依然发生。由于上传包含 .env 等配置文件,开发者的 API 密钥和敏感凭证也被一并泄露。在问题被公开披露后,xAI 已通过服务端配置远程禁用了该上传功能,但目前尚未发布任何官方声明解释上传目的或已收集数据的处理方式。
事件分析
💡 核心观点:打着“改进模型”的幌子全量窃取代码,大模型厂商的隐私野心正在透支开发者的信任边界。
原文链接:Hacker News





