Skip to main content

研究员称 xAI Grok CLI 默认上传整个代码库及密钥文件安全研究人员对 xAI 官方编程命令行工具 Grok Build(版本 0.2.93)进行抓包分析,发现该工具默认通过两个渠道向 xAI 服务器传输代码

  1. 研究员称 xAI Grok CLI 默认上传整个代码库及密钥文件

    安全研究人员对 xAI 官方编程命令行工具 Grok Build(版本 0.2.93)进行抓包分析,发现该工具默认通过两个渠道向 xAI 服务器传输代码。其一,工具读取的任何文件(包括 .env 等密钥文件)内容会被原样嵌入模型对话请求,同时打包上传至 Google Cloud Storage 存储桶。其二,无论提示词是否要求读取,整个代码仓库会以 git bundle 形式上传;实验中一个被明确指令“不要打开”的文件,其内容仍可在上传压缩包中完整恢复。关闭设置中的“改进模型”开关无法阻止上传,服务器端仍返回上传已启用的状态。在 12 GB 仓库测试中,超过 5 GiB 数据成功上传且无存储端拒绝。研究者强调仅证明了数据传输与存储行为,未证明 xAI 使用这些数据进行模型训练。

    Gist | Reddit

    🌸 在花频道 · 茶馆水群 · 投稿通道
    👎 141 😁 56 😱 18 👍 8 🤬 4 ❤️ 2 🔥 1 🥴 1 🤓 1