xAI Grok Build 悄悄上传整个仓库
What xAI's Grok Build CLI Actually Sends to xAI
我通过抓包分析发现,xAI 的 Grok Build CLI 在默认配置下存在严重隐私泄露风险。它不仅会将你读取的文件内容(包括 .env 中的 API_KEY 和 DB_PASSWORD 等敏感信息)明文发送给 xAI,还会将整个 Git 仓库打包上传至 Google Cloud Storage。即便你明确提示“不要读取任何文件”,它依然会上传包含未读取文件的完整仓库快照。更令人担忧的是,关闭“改进模型”选项也无法阻止这一行为,且上传规模可达数 GB,唯一的限制似乎是模型配额而非存储上限。
"在 12 GB 的仓库测试中,存储通道成功上传了 5.10 GiB 的数据,而模型交互通道仅传输了 192 KB,两者相差约 27800 倍,这证明上传行为针对的是整个代码库而非读取的文件。"