之前写过一件事, 什么事呢, 是Anthropic偷偷在Claude Code中植入了隐形代码, 目的是识别是不是中国用户, 之后这件事爆掉了, 大家对其观看的特别多。
后面国家还特意强调提醒了一下这个事。

但是我想说,没想到今天,更离谱的来了。
这次的主角是Grok。
在你运用xAI的官方Grok CLI写代码之际, 于你全然不知晓的状况下, 它会将你整个项目的代码仓库进行打包, 而后上传至xAI的云端服务器。
留意,我所讲的并非在于模型读取你的文件借此去回答问题这般极为平常的情况, 而是具有极度恶劣性质的开启了另外一条你根本就察觉不到的途径, 将你整个的代码库径直压缩成为tar.gz格式, 随后暗地里上传至它们自身的一个名为。
位于Google Cloud仓库之中, 其地址为gs://grok-code-session-traces。

而且不只是代码。
在经由我亲自进行的验证当中, 他竟然, 径直跨越了属于我的项目库, 并且还把我所使用的电脑上面Claude Code的配置文件一同传送到了上面这件事, 甚至, 其中还涵盖了我的特定某个API密钥。

就是在我整个人处于那种极度 bewildered 的状况下, 当我去做验证这个行为的时候, 而且是特意安排 Codex 去伪造出一个合成仓库来进行验证, 然而没想到啊, 这个可恶的家伙, 不但把整个合成数据库都完全搬空了起来, 还直接将我的.claude 整个配置一股脑地全部搬走了, 此刻我真的是不知道该讲些什么话语才好了。
马斯克, 你平日里表现得有些像狗那样就算, 如今发展到为了窃取数据, 竟然都到了如此这般不按正当手段行事的地步了!
先说这件事的起因。
昨晚, 推特上有个博主发了个帖;说有人逆向Grok CLI后, 发现一极其离谱机制;他原话大概是, Grok CLI在每轮任务开始前、结束后, 各将你当前工作目录完整状态打包一次, 接着静默上传至xAI控制远端存储!

因为这个帖子浏览量巨低,我当时第一反应是不至于吧。
这两天, Grok 4.5口碑相当不错, 速度那叫一个快得惊人, 我自己也正在体验着呢, 眼下这段日子, GPT - 5.6 Sol量特别大, 啥都能管, Grok 4.5在我这儿基本没机会露脸, 不过当时我还是这么猜想, 估摸又是那种靠制造噱头来吸引人的假消息了。
毕竟xAI再怎么样也是一家正经公司,不可能做这种事。
但是职业习惯,我还是把这个事,进行了一遍验证。
我即刻就前往Codex, 先是安装了xAI官方之npm包@xai-official/grok, 其版本为0.2.93, 接着确认Apple签名归属于X.AI Corporation, 随后排除了社区中同名包所带来的干扰。

然后反混淆了二进制文件。
打开的瞬间我就知道,这事肯定是真的了。

二进制当中, 清晰地写着, repo_state.upload, 还有, before_codebase, 以及, after_codebase.tar.gz。
谷歌云存储路径gs://grok-code-session-traces, 还有上传成功的所涉执行分支, 上传失败的相关执行分支, 上传禁用的全部执行分支, 这简直是一条完整的、处于生产级别的上传管线。
但是, 怀着对老马尚存的那一丝信心, 我认为, 字符串存在并不意味着它必然在运行, 对吧? 所以, 我所要验证的是, 它默认究竟会不会触发。
之后呢, 我便去构筑了一个隔离性质的测试仓库 , 里头充斥着虚构出来的假数据 , 不触碰任何真实的项目。
接着, 运用这个库房开展了一回最为简易的Grok任务, 使得模型仅仅回复一个词语, 未曾调用任何工具。
结果很有意思。
从xAI服务器拿到的远程配置, 是我的账号的远程配置: 「遥测开启, 然而代码快照上传是关闭状态」。这意味着, 默认运行时, 我的仓库没有被上传。日志里清楚记录着: 没有上传队列这种情况, 所以跳过了。
随后,我凭借手动方式将上传开关予以开启, 目的在于验证这条管线究竟可不可以实现畅通运行, 以及它具体会收取带走些什么东西。
这一开,天就塌了。
就算模型尚未调用任何用于读取文件的工具, 可是Grok CLI依旧成功上传了before_codebase.tar.gz啦, 还有after_codebase.tar.gz哦(这分别指的其实就是我的代码库在之前的状态以及在AI介入之后所呈现的状态呢), 并且一并上传了会话状态、对话记录、配置以及日志。
全部传到了xAI的谷歌云仓库上。

不过, 切实叫我血压急剧升高的, 乃是上传包之中的内容, 它远远超越了当下仓库的范畴。
不只是仓库当中的代码被它传输了, 就连仓库外面的东西也被传输了, 我的~/.claude.json, 我的Claude Code设置文件, 我的全局AGENTS规则, 我的30多个Skill文件, 统统被标记成supplemental_file(也就是补充上下文文件), 一块儿被塞进上传包了。
为了兼容Claude Code, Grok CLI在启动之际, 会自行扫描你电脑里Claude Code的配置文件, 以使你无需重新进行设置, 便可继承Claude Code的环境, 此项功能本身还算得上贴心。
然而问题在于, 他们这个离谱程度颇高的收集器, 其设计逻辑竟然是, 只要在Grok运行的进程当中, 读取了某一个文件, 便会将整个完整的文件收纳进上传包里来。
换言之, 它压根儿没将边界限定于当下仓库, 也没把别家工具敏感配置排除, 只要我读取到, 你的全部事物, 皆属于我。
然后事情变得更糟。
我检查了被上传的文件列表,发现我的
在~/.claude/settings.local.json当中, 存在着一个名为env.MIAODA_API_KEY的字段。
有个Key, 它属于我的百度秒哒的一个Skill, 这个Key直接就被泄露了, 之后它被送到了xAI的云盘里。
我未曾主动递给Grok任何密钥, 我居然都没有让Grok去读取任何文件。
我仅仅是让它回复一个词汇, 然而由于它在启动之际自动扫描了Claude Code的配置, 并且收集器将所有读取过的文件一并打包上传, 于是我的全部东西, 就这样成了未来Grok的一部分。
然后,更离谱的事来了。
大家可还记得, 我今儿讲的那事儿, 讲的是它的代码, 全都是完备齐全的, 然而, 它默认的状态是不会上传的, 是我凭借自己的力量, 手工把开关给打开了, 在这之后, 才出现了所有那些上传的操作。
你可能会说,那不就是你贱吗开云手机入口app下载开云app官方入口网站,你自己打开的,那怪谁啊。
首先呢, 我要表明一点, 要是存在这样一种情况, 就是我能够提前两个小时去进行测量这个动作, 那么你就会察觉到, 实际上根本就不存在所谓的开关这种事情, 并且这个东西它本身从一开始就是处于打开的状态。

有个安全研究者cereblab, 这本应被视作是最为首位发觉此项事情之人, 他不但截获了数据包踪迹, 而且打造了一艘复现仓库之舟, 留存且妥善呵护了完备不已零缺失的网络请求记录文档。
但关键的转折在于, 有一份他所保存的, 7 月 13 号的 xAI 服务器响应。在这份响应当中, 同时出现了两个字段。第一个字段是 trace_upload_enabled 等于 false , 而且还有一个新增加的字段, 是 disable_codebase_upload 等于 true。
在最为开始他进行抓包这个行为的时候, 针对于同一个版本号为0.2.93的客户端, 所接收到的配置呈现为trace_upload_enabled等于true。

客户端没有更新,二进制哈希完全一样开云正版app下载开云app在线入口,但行为变了。
只有一种解释, xAI借助服务端远程开关, 在这位博主曝光以后, 暗暗地将上传功能关掉了。
时间线大概是这样的。
7月10号,cereblab抓到默认上传行为。
7月12号晚间之时, 另外一位博主mylifcc发布帖子, 此帖子将相同的发现予以公开, 而后该帖子快速地传播开来。
在7月13号的凌晨时分, cereblab察觉到, xAI服务端出现了新增的disable_codebase_upload字段, 上传这一操作被远程予以关闭, 然而, 所有的配置却被留存了下来, 实际上, 后续也是能够在毫无察觉的情况下开启的。
这个操作本身就说明了一切。
要是这个功能是正当适宜的、有着用户明确知晓并同意这个前提的, 那你缘何要在被公开披露出来后悄悄地去关掉它呢? 要是你认为并无不妥的话, 难道你并不应该现身出来作出解释表明“哦这属于我们的trace诊断功能, 用户能够自行抉择开启或者关闭, 数据仅仅应用于XX用途”难道不是这样的吗。
但他们选择了静默关闸。
这意味着xAI自己也清楚,这件事尼玛根本见不得光。
因为这真的就是我整个见过的最离谱的事了。
Claude Code所做之事是利用一个不可见的Unicode字符于系统提示词中对你的请求去做分类标记, 人确实是贱, 然而它并未采集你的代码, 也没有上传你的文件, 没去触碰你的密钥, 它所做之事在隐私层面的实际危害近乎为零, 核心问题在于它偷偷地做, 却不告知你, 简直就是纯恶心你。
它做到的事情是, 将你整体的代码仓库进行打包, 而后上传至远端服务器, 这其中还带上了你电脑上其他工具的配置文件以及API密钥, 是借助一条独立于模型请求的旁路通道施行的 , 并且是在你全然不知情的状况下完成的。但是Grok CLI做的。
用形象的话比喻就是。
一个是在你的外卖订单上偷偷贴了个小标签。
有一个情况是, 复制了一把你家的钥匙, 并且在这个过程当中, 还顺便把你邻居家的钥匙也一并给顺走啦。
着实是极其离谱了, Agent的确是越发发达起来, 其所能够做的事情也是越发地多了起来。
但这也确实代表着,你的隐私几乎就是裸奔,全看对面的良心。
Claude Code具备执行你Shell命令的能力, Grok CLI拥有扫描你整个文件系统的本事, Codex包含操控你浏览器的效果。现在一个Agent产品它具备的权限, 跟你电脑上一个管理员账户已没有太大差距, 是这样的情况。
整个软件行业的历史当中, 只有操作系统以及杀毒软件, 享受过这般的权限量级。
然而, 操作系统具备历经几十年时间构建而成的安全审计体系, 杀毒软件拥有行业所赋予的认证以及监管框架。
AI Agent有什么。
什么都没有。
不是一个行业标准确定AI Agent得公开其于本地读取了啥文件, 不是一个规范要求Agent的上传举动须经用户的明确同意, 不是一个第三方机构在审查这些工具究竟在你的电脑上做了啥。
整个行业,现在是在裸奔。
也是挺悲哀的。
最后说一句,如果装了Grok CLI的,赶紧卸载。
能卸多快,就卸多快。
期望某一日, 我们无需凭借逆反二进制文档, 方可明晰自身工具于背后所施行的举措。
那一天到来之前开云真人app官网登录app,开云真人app在线登录,保持警觉。
以上, 既然都已经看到这儿了, 若感觉还不错, 那就顺手点个赞, 再点个在看, 接着进行转发, 完成三连操作吧, 要是想在第一时间收到推送, 同样也能够给我设置个星标~多谢你阅读我的文章, 我们, 下次再会。
还木有评论哦,快来抢沙发吧~