DC娱乐网

安全研究者拆开了 xAI 官方 Grok CLI 的底层逻辑,发现了一...

安全研究者拆开了 xAI 官方 Grok CLI 的底层逻辑,发现了一个让人后怕的细节。每轮任务执行前后,Grok CLI 会把整个工作目录打包成 before 和 after 两个压缩包,通过独立旁路通道静默上传到 xAI 的 Google Cloud。重点不在「上传」,而在「上传了什么」!除了代码本身,上传包里还塞进了仓库外的 Claude Code 配置文件、全局 AGENTS 规则、三十多个 Skill 文件,以及一个明文 API 密钥。你的开发环境被整盘端走。即使模型最终只回复了一个单词,这个上传也不会省略。7 月 13 日凌晨,xAI 通过远程开关紧急上线了禁用选项。但真正的问题是——在开关关掉之前,已经飞出去的东西,你根本不知道。这件事最值得关注的不是数据泄露这个老话题,而是它揭开了一个正在逼近的现实。当你把 AI 工具接入开发工作流时,你实际上交出了什么。是代码?还是你整个数字身份,这个问题每个人都该自己检查一下。Ps:图片为Image2生成