北京时间2026年7月14日 ,xAI旗下AI编程工具Grok Build(CLI)陷入一场严重的隐私与安全危机。
安全研究机构Cereblab经过深度网络抓包分析后披露,这款被官方宣传为“本地优先、代码绝不上云”的编码助手,在用户完全不知情的情况下,会将整个代码仓库打包上传至云端。
更令人震惊的是,即便用户明确要求模型“不要读取任何文件”,Grok Build依然通过独立的后台通道执行上传操作。上传范围不仅包括所有Git追踪的文件和完整的提交历史,甚至涵盖了.env配置文件中的API密钥与数据库密码。
这场风波迅速席卷Hacker News、Reddit和X等开发者社区,被网友形容为“AI编程工具的信任大地震”。
两条上传通道:一条读代码,一条“偷家”
Cereblab的研究人员对Grok Build CLI版本0.2.93进行了抓包分析,发现其数据传输机制分为两条完全独立的通道。
通道一:模型对话流。 当Grok读取用户的.env、配置文件或密钥文件时,这些内容会以明文形式、未经任何脱敏处理被序列化进API请求体中发送至xAI服务器。测试中,.env文件里的API_KEY和数据库密码均以原始字符串形式被传输和存档。
通道二:全仓库“静默搬家”。 这才是最令开发者愤怒的部分。Grok CLI会在后台将整个工作区打包成一个git bundle——包含所有受Git追踪的文件以及完整的提交历史——然后通过独立的存储接口静默上传至名为gs://grok-code-session-traces的Google Cloud存储桶。
这一上传行为与模型实际读取了哪些文件完全无关。
研究人员在一个约11.2 GiB的代码仓库上进行测试,模型推理通道仅传输了约192 KiB的数据,但存储通道却成功上传了至少5.10 GiB的数据。上传比例高达27,800:1。即便在提示词中明确要求“只说OK,不要读文件”,Grok Build依然上传了包含完整Git仓库的bundle包。

跨目录“扫荡”:连Claude的配置文件也没放过
更令开发者群体震惊的是,Grok CLI的收集逻辑明显缺乏清晰的“边界感”。由于该工具在启动时会尝试兼容其他开发环境,其扫描范围会延伸至项目目录之外。
多位开发者的实测证实,Grok在运行过程中会主动读取并打包用户根目录下的~/.claude.json配置文件、Claude Code的设置文件、全局AGENTS规则以及数十个本地Skill脚本。这些本属于竞争对手Anthropic旗下产品的私密配置文件,连同其中可能包含的第三方API密钥,被作为“补充文件”一并送上了xAI的云端。
一位开发者在验证时特意伪造了一个合成仓库,结果Grok不仅把整个合成仓库搬空,“还直接把我的.claude整个配置全部搬走了”。
xAI“远程拉闸”:关掉开关没用
事件曝光后,xAI的反应速度极快——但方式令人生疑。
Cereblab对比了7月10日至13日前后的服务器响应数据:在最初曝光时,客户端接收到的配置为trace_upload_enabled: true。然而,随着社区讨论发酵,在客户端版本(二进制哈希值)未做任何更新的情况下,xAI的服务器响应中突然新增了disable_codebase_upload: true字段,并将trace上传强行设为false。
这种“无需更新客户端、通过云端配置远程关闸”的操作,揭示了两个令开发者不安的事实:
第一,xAI拥有对本地客户端行为的绝对远程控制权。 服务器随时可以推送配置改变客户端行为,而用户完全不知情。第二,此前备受争议的“Improve the model / 改进模型”前端开关形同虚设。 即便用户关闭了该选项,底层的上传管线依然会根据服务器的指令自行运转。

开发者社区炸锅:已有用户确认中招
这一事件在开发者社区引发了强烈反响。Hacker News上相关帖子的讨论热度持续攀升。有用户在检查本地日志后发现,自己的机器上已经产生了339次上传记录,甚至连家目录都被扫描了9次。
更令人担忧的是,即便用户通过配置试图关闭上传功能,由于Grok Build默认会自动更新,每次升级后都可能重置相关设置。有开发者直言:“这事最大的教训不是xAI有多坏,而是AI编程工具的权限边界,现在基本靠厂商自觉。你以为给它开了一个目录,它拿走的是整台机器的上下文。”
截至目前,xAI官方尚未就此事发表正式声明。热门开源项目CC Switch的开发者已表示,由于Grok的安全问题,对Grok的相关支持功能将暂缓发布。
给开发者的紧急建议
安全研究机构Cereblab向所有已使用过Grok Build的开发者发出警告:必须立即检查工作仓库中是否包含API密钥、访问令牌、数据库密码等敏感信息,如发现任何有效凭证,应立即撤销或重新颁发。
对于计划继续使用Grok Build的开发者,建议采取以下防护措施:准备一个排除敏感信息和客户数据的工作仓库;将凭证从源代码和Git管理中移除,改用密钥管理服务以环境变量方式注入;考虑使用bubblewrap等沙盒工具限制CLI的目录与网络访问权限。
这场风波再次向整个AI行业敲响了警钟:当AI编程工具获得近乎无限的本地权限时,缺乏透明度与审计机制将使用户的隐私与商业机密处于“裸奔”状态。一个被宣传为“本地优先”的工具,却在后台悄悄将整个代码仓库搬上云端,这究竟是技术疏忽,还是有意为之,恐怕只有xAI自己才能给出答案。