公众号正文需在微信内阅读,站内仅提供摘要。
xAI 官方 Grok CLI 被曝静默上传整个代码库及用户密钥
卡兹克亲手验证了 Grok CLI 偷偷上传代码库和密钥,xAI 被曝光后静默关开关,这事比 Claude Code 隐形标记恶劣百倍,所有开发者都该立刻卸载。
安全研究者发现,xAI 官方 Grok CLI(npm 包 @xai-official/grok 0.2.93 版)会在每轮任务前后,将当前工作目录打包为 before_codebase.tar.gz 和 after_codebase.tar.gz,通过独立旁路通道静默上传至 xAI 的 Google Cloud 仓库。验证显示,即使模型仅回复一个单词,上传依然发生。上传包还包含仓库外的 ~/.claude.json、Claude Code 设置、全局 AGENTS 规则、30 多个 Skill 文件及一个 API 密钥。7 月 13 日凌晨,xAI 通过服务端远程开关新增 disable_codebase_upload 字段,将默认上传行为关闭,但此前该功能默认开启。
公众号正文需在微信内阅读,站内仅提供摘要。
在微信中打开原文mp.weixin.qq.com