#AI tools
Grok CLI 默认上传整个代码库和密钥文件
9/10gist.github.com · ⭐️ 9/10 · 2026-07-12
安全研究人员发现,xAI 的 Grok CLI(版本 0.2.93)会默认将整个 Git 仓库和.env 等敏感文件自动上传至 Google Cloud Storage,即使提示词指示不要读取特定文件。关闭"改进模型"设置也无法阻止上传。 该漏洞默认暴露了用户的专有代码、API 密钥和凭证,带来了严重的隐私和安全风险。它破坏了用户对 AI 辅助编程工具的信任,并引发了对数据处理方式的质疑。 该工具通过两种渠道发送文件内容:嵌入模型对话请求中以及作为 git bundle 文件。在 12 GB 仓库的测试中,超过 5 GiB 的数据成功上传且未被拒绝。设置中的关闭开关对上传行为没有影响。