@jcc 在 老马的路子这么野,xAI Grok CLI 工具会上传代码库 中发帖
看到有消息说这个事
xAI Grok CLI 工具被曝存在数据上传安全隐患
安全研究人员对 xAI 官方编程命令行工具 Grok Build(版本 0.2.93)的分析显示,该工具存在未经用户明确授权的数据上传行为。测试发现,该工具会将用户读取的文件内容(包括 .env 等敏感密钥文件)原样嵌入模型对话请求,并同步上传至 Google Cloud Storage 存储桶。
此外,无论用户是否发出读取指令,该工具均会将整个代码仓库打包为 git bundle 格式上传。在实验中,即使明确指令要求“不要打开”特定文件,该文件内容仍可在上传的压缩包中被完整恢复。测试显示,即便关闭设置中的“改进模型”开关,服务器端仍会显示上传功能处于启用状态,且在 12 GB 的仓库测试中,超过 5 GiB 的数据被成功上传。研究人员指出,目前仅证实了该工具存在数据传输与存储行为,尚未证明 xAI 利用这些...