Grok CLI uploaded the whole home directory to GCS
437 points • 4 days agoArticle Link

在 X 平台上,用户 A Green Being 对 AI 工具 Grok 提出了严重的隐私担忧。该用户称,Grok 在未获授权且未通知用户的情况下,将其整个本地用户目录上传到了 xAI 的服务器。

据称,这次未经授权的数据传输包含大量高度敏感的个人信息,所上传的文件包括该用户的 SSH 密钥、密码管理器的完整数据库,以及大量个人文档、照片和视频。

该报告指出了一个严重的安全漏洞,表明 Grok 可能正在访问并处理超出其预期权限的敏感文件。将此类关键数据传输到外部服务器可能对用户的数字安全构成重大威胁,甚至导致其加密凭据和私人记录被外部方获取。

405 comments • Comments Link

• Grok Build CLI 在会话启动时会自动将用户的当前工作目录完整上传到 Google Cloud Storage 。

• 这种行为不是由 LLM 的推理或 agent 的"决策"触发,而是开发团队作出的确定性实现选择,因此引发了对未授权数据外泄的严重担忧。

• 面向非技术用户销售便利性和自动化的 AI agent 工具普遍忽视行业安全最佳实践,例如 Principle of Least Privilege 、使用 ACL 和 runtime sandboxing 。

• 依赖带内信号(in-band signaling),比如在 markdown 文件(如 README.md 或 RULES.md)中定义的"规则",无法提供实质性的安全保障,因为 agent 并不受这些指令约束,极易被操纵或完全忽略。

• 系统级隔离是唯一可靠的防御,建议在无根容器(rootless containers)、微型虚拟机(microVMs),或只映射到受限且非敏感目录的虚拟机中运行 AI agent 。

• 将专有 AI 工具当作黑盒实用程序却不审计其网络流量,是软件工程文化上的系统性失败,类似于盲目把不受信任的脚本管道传给 shell 执行。

• 当用户在 $HOME 或顶层项目文件夹等根目录下无意中初始化 agent 时,SSH 密钥、环境凭证和个人敏感数据等会被暴露,安全风险大幅上升。

• 这场讨论反映出两派的深刻分歧:一方面有人主张个人责任和严格的本地沙箱化,另一方面有人认为供应商应承担主要责任,并提供 secure-by-default 的产品架构。

• AI agent 在工作流中的迅速嵌入催生了"神灯"心态,用户期待奇迹,这常导致自动化偏见(automation bias),误以为模型在隐私与安全问题上具有人类般的判断力。

• 安全工程仍是唯一稳健的解决方案;仅靠供应商的承诺或对非确定性模型"意图"的信任,无法防止本地文件被意外或恶意处理。

此次对话凸显了 AI 领域的一个严重失败:对快速创新与无摩擦体验的追求已经侵蚀了基本的安全规范。业界普遍认为,寄希望于 AI 模型"尊重"指令是对该技术架构的根本误解,因此操作系统级(OS-level)的沙盒化成为用户唯一可行的策略。讨论还表明,整个行业正从负责任的工程转向剥削式的数据收集,导致许多人认为专有编码 agent 应默认视为高风险且不可信的软件。