What xAI's Grok Build CLI Actually Sends to xAI
537 points • 5 days agoArticle Link

对 xAI 的 Grok Build CLI(版本 0.2.93)进行的线级分析发现,该工具会以对普通用户不够透明的方式,将大量用户数据传回公司服务器。通过使用代理监控流量并可复现的拆解流程,研究人员发现 CLI 会主动上传单个文件的内容以及整个代码库的快照,这些传输经由两个不同通道进行:一是实时的模型交互通信(model-turn),二是将数据路由到名为 grok-code-session-traces 的 Google Cloud Storage 存储桶的独立存储上传进程。

当 Grok CLI 被指示读取文件时,它会将这些文件的内容(包括含有密钥的 .env 文件等敏感信息)以未脱敏的原文形式传送到 xAI 的服务器。这些内容既被序列化进模型交互请求中,也被打包进会话存档并上传到服务器。尽管此行为与代理实际访问的文件有关,但 CLI 对"相关性"的判断范围很宽,并不会自动对凭据或敏感环境变量进行脱敏处理。

除了 AI 明确访问的文件外,Grok CLI 还会单独进行大规模的工作区上传。流量捕获显示,该工具会将整个代码库(包括隐藏文件和完整的 git 历史)打包并传输给 xAI 。即便在明确提示 AI 不要读取任何文件的情况下,这一后台上传进程仍会继续运行。在一个 12 GB 的测试代码库中,CLI 向服务器移动了超过 5 GB 的数据,唯一的限制来自模型使用配额,而非对存储数据量的限制。

这种代码库外泄是通过将仓库打包为 git bundle 实现的,随后由 xAI 上传并存储。调查人员通过验证确认,即便是明确要求代理忽略的文件,也出现在捕获的上传包中并可被恢复。此外,无论用户是否关闭"模型改进"相关设置,这一行为仍然持续,因为 CLI 在关闭这些设置后仍报告追踪上传功能处于启用状态。

这些会话的存储目的地被识别为一个 Google Cloud Storage 存储桶,其地址被硬编码在二进制文件的内部结构中。尽管 AI 辅助编程工具在运行时确实需要一定程度的数据传输,但对这种对整个代码库进行自动且大规模存储的行为缺乏透明度值得警惕。由于这些机制并未在标准安装或快速入门文档中明确披露,许多用户可能并不知道在与 CLI 交互过程中,本地项目历史和代码库正在被持续镜像到 xAI 的基础设施。

229 comments • Comments Link

• Grok Build CLI 会将整个代码仓库(包括文件内容和 git 历史)上传到 xAI 的服务器,无视用户是否同意以及"Improve the model"开关的设置。

• 与按需或增量发送上下文的常见 AI 工具不同,这种做法会包括 .env 文件和其他内部机密等敏感数据,带来严重的安全和知识产权风险。

• 用户对专属 AI 编程代理的信任度较低,因为这些工具通常以"黑盒"方式运行,可能在不通知用户的情况下通过静默更新改变数据处理行为。

• 虽然部分开发者认为基于云的 AI 是不可回避的竞争需求,但许多人认为将整个仓库导出明显超出了 LLM 推理对上下文的合理技术要求。

• 安全意识较强的开发者建议使用 bubblewrap 或 gvisor 等沙箱方案来隔离 AI 工具,限制其对文件系统的访问、网络可见性以及与敏感系统目录的交互。

• 行业内普遍认为,任何基于云的编程代理都存在泄露商业机密的潜在风险,但将整个代码库(尤其是未被模型主动使用的部分)不加区分地上传,被视为一种显著的风险升级。

• 对比不同供应商的做法可以发现多种方案:一些竞争对手侧重于本地预处理(使用 grep 、 sed 等工具)来仅提取相关代码片段,而不是批量上传整个仓库。

• 人们仍然质疑这些做法是否违反 GDPR 等法规,尽管相关执法进展缓慢且多为事后反应,而非预防性措施。

• 越来越多的开发者把对专属 CLI 的依赖视为一种"骗局",认为这些工具带来的价值不足以弥补在知识产权和内部业务逻辑上丧失的控制权。

• 专家强调,一旦代码提交给第三方非本地代理,实际上就已处于泄露风险之中,因此技术性限制(如沙箱)是防止潜在数据滥用的唯一可靠防线。

讨论的核心是一个令人震惊的发现:某些 AI 编程代理会将整个代码仓库导出到云端,从而绕过了常见的隐私预期和用户自定义设置。参与者对把私有代码"窃取"或摄取到云端以实现商业化扩展的常态化做法深感忧虑,并将此与 LLM 所需的标准、即时上下文处理区分开来。尽管有人认为使用云端 AI 是为提高生产力而必须承担的可控风险,但也有人认为这类工具带来了重大的安全责任,应严格沙箱化或转向本地开源替代方案。最终的共识是,开发者应将任何专属代理视为不受信任的第三方,优先采用严格的环境隔离,而不是为了便利而盲目集成原生工具。