xAI(马斯克旗下AI公司)发布的官方CLI工具近期被安全研究人员揭露存在严重的数据安全隐患。该工具在用户毫不知情的情况下,自动将本地项目的整个代码仓库打包为tar.gz格式,并上传至由xAI控制的Google Cloud存储桶。更令人担忧的是,其数据采集范围远超当前正在操作的项目。为了兼容 Claude Code 环境,该工具会主动扫描电脑上的 `~/.claude/` 目录,但其收集机制缺乏过滤,导致该目录下的所有配置文件、全局规则、Skill文件以及极为敏感的Claude API密钥被一并打包上传至云端。通过逆向工程分析,研究人员证实了Grok CLI内部确实内置了完整的代码快照与上传管线。尽管xAI在相关发现于7月12日公开后,已于7月13日凌晨通过服务端远程开关悄悄关闭了这一功能(新增`disable_codebase_upload`字段),但这表明此前该功能在默认开启状态下已运行了一段时间。发现者呼吁所有安装过该工具的用户立即卸载,并检查云端权限以防范潜在的安全风险。
事件分析
💡 核心观点:闭源AI开发工具在追求“全知全能”的效率时,往往以牺牲用户的数据主权与隐私安全为代价,重塑了安全边界。
原文链接:Linux.do

评论前必须登录!
立即登录 注册