← 返回信息流
Agent SkillLINUX DO · AI·1 小时前

Grok CLI被曝偷传代码库及Claude密钥

原标题:Grok CLI 偷传代码库及Claude 密钥至云端

速览

xAI的Grok CLI被发现在用户不知情时自动上传整个项目代码库至xAI控制的Google Cloud存储桶,还会主动扫描并打包Claude Code的配置文件,包括设置、规则、Skill文件及API密钥。安全研究者通过逆向二进制确认了该行为。7月12日公开后,xAI于7月13日通过服务端远程关闭上传功能,新增disable_codebase_upload字段,但此前默认开启。作者呼吁所有安装过的用户尽快卸载。

AI 深度解读

背景

xAI 官方推出的 CLI 工具 Grok CLI 被安全研究者发现存在严重隐私安全问题。该工具在用户不知情的情况下,会将本地代码仓库完整打包并上传至 xAI 控制的云端存储。由于 Grok CLI 会主动适配 Claude Code 的运行环境,其数据收集范围覆盖了用户本地的 Claude 配置文件,导致包括 API 密钥在内的敏感信息一并泄露。这一事件在 2025 年 7 月 12 日被公开,随即引起广泛关注。

核心内容

安全研究者通过逆向分析 Grok CLI 的二进制文件,确认该工具内置了完整的代码快照上传管线。具体而言,当用户使用 Grok CLI 进行任何操作时,工具会在用户完全不知情的情况下,将当前项目整个代码仓库打包成一个 tar.gz 压缩文件,并上传到 xAI 控制的 Google Cloud 存储桶(bucket)。

问题的严重性在于上传范围远超当前项目目录。Grok CLI 会主动扫描用户电脑上 Claude Code 的配置文件,以兼容其运行环境。但其中的收集器(collector)并未严格限定读取范围——它会将所有读取过的文件一并打包。这就意味着,Claude Code 的配置文件位于 ~/.claude/ 目录下,该目录中的设置文件、全局规则、Skill(技能)文件,乃至一个 API 密钥,都被 Grok CLI 收集并上传至 xAI 云端。

7 月 12 日相关发现公开后,xAI 在 7 月 13 日凌晨通过服务端远程开关(feature flag)悄悄关闭了上传功能,并新增了 disable_codebase_upload 字段。但在此之前,该上传功能默认是开启的,用户没有任何途径知晓或关闭这一行为。

关键要点

  • Grok CLI 会在用户不知情的情况下将整个代码仓库打包成 tar.gz 并上传至 xAI 的 Google Cloud 存储桶。
  • 上传范围自动扩展至 Claude Code 配置文件所在的 ~/.claude/ 目录,包括设置、全局规则、Skill 文件和 API 密钥。
  • 安全研究者通过逆向二进制文件确认了该上传管线的存在。
  • 发现公开后次日凌晨(7 月 13 日),xAI 通过远程开关紧急关闭了上传功能,但此前一直默认开启。
  • xAI 新增了 disable_codebase_upload 字段用于控制该行为,但用户在此之前完全无法阻止。
  • 作者呼吁所有安装过 Grok CLI 的用户尽快卸载该工具。

意义与影响

这一事件暴露了 AI 开发工具在默认配置下可能存在的严重隐私风险。Grok CLI 作为官方 CLI 工具,其代码快照上传功能既未在安装或首次使用时明确告知用户,也未提供任何关闭选项,直接违背了用户知情权与数据最小化原则。尤其是对 Claude Code 配置文件的主动扫描和上传,意味着使用 Claude Code 的用户面临的不是单一工具的泄露风险,而是一连串跨平台、跨供应商的数据暴露——xAI 的 Grok CLI 能够获取其他 AI 产品的 API 密钥,这可能导致用户资产被非授权访问。

从行业角度看,此类事件再次警示所有开发者工具提供商:默认收集用户本地代码和配置的行为必须经过透明、可逆的同意机制。xAI 在事发后紧急关闭功能并新增开关,虽然是亡羊补牢,但默认开启的设计已经造成事实上的数据外泄,对用户信任造成严重打击。对于广大开发者而言,在安装和使用任何 AI CLI 工具时,应格外关注其网络行为,必要时通过防火墙或网络监控工具进行审计。同时,用户应考虑将 API 密钥等敏感信息存储在环境变量或专用的密钥管理服务中,而非直接写入配置文件。

查看原文 →linux.do