xAI Grok Build CLI 网络流量分析:上传仓库全部文件及 git 历史
Grok Build CLI上传整个仓库包括git历史,数据量是对话的27800倍,暴露了AI编码工具隐私保护的严重漏洞。
结构化情报
发生了什么
对 xAI 官方 Grok Build 编码 CLI(grok 0.2.93)的网络流量分析显示,该工具在消费者登录后会向 xAI 发送三类数据:一是它读取的文件内容(包括 .env 密钥文件)以明文形式通过 POST /v1/responses 传输,并同时打包成 session_state 存档通过 POST /v1/storage 上传并获 HTTP 200 确认;二是整个仓库的全部文件内容及 git 历史,独立于 AI 智能体实际读取的文件--即使提示"不要读取任何文件",Grok 仍将整个仓库作为 git bundle 上传至 Google Cloud Storage 的 grok-code-session-traces 存储桶;三是该上传机制默认开启,且关闭"改进模型"设置不会禁用(/v1/settings 仍返回 trace_upload_enabled: true)。在 12 GB 仓库测试中,/v1/storage 传输了 5.10 GiB 数据,而模型对话通道仅传输 192 KB,比例约 27,800 倍。分析未证明 xAI 使用这些数据进行训练,但证实了数据被传输、接收并存储。
为什么重要
Grok Build CLI上传整个仓库包括git历史,数据量是对话的27800倍,暴露了AI编码工具隐私保护的严重漏洞。
行业影响
短期影响主要体现在行业预期和技术路线判断,是否形成商业结果仍需观察后续产品与客户进展。
仍需确认
当前是单一公开来源,需要补充公司公告、客户确认或其他可信媒体报道。
信息说明
RoboAIRadar 对公开信源进行聚合、中文整理和价值判断,不替代原始报道。 涉及产品参数、交易金额或公司声明时,请以原文为准。
查看原始报道