YYaaa News

xAI 半夜遠端關掉 Grok CLI 代碼偷傳|服務端加一個字段滅火,客戶端一行沒改

一句話總結

Grok Build CLI 被抓包默認上傳整個代碼庫和密鑰檔案不到 24 小時,xAI 於 7 月 13 日凌晨服務端遠端開關關功能,客戶端未修。

xAI 半夜遠端關掉 Grok CLI 代碼偷傳|服務端加一個字段滅火,客戶端一行沒改

Grok Build CLI 被抓包默認上傳整個代碼庫和密鑰檔案後不到 24 小時,xAI 於 7 月 13 日凌晨在服務端新增 `disable_codebase_upload` 字段並返回 `true`,遠端關掉了上傳。CLI 客戶端一行代碼沒改。

事件源頭是一名研究員在 Reddit 上發的分析:Grok Build CLI 首次啟動時,會遞歸掃描當前工作目錄,把包括 `.env`、`~/.aws/credentials`、`~/.ssh/id_rsa` 在內的文件一併打包上傳到 xAI 伺服器,聲稱用於「上下文優化」。這個行為在文檔、CLI 提示詞、用戶協議裡都沒提。

xAI 這次的補救路徑很粗暴:不 revoke 已上傳數據、不發公告、不推 CLI 更新,直接用服務端 flag 開關關掉這個能力。已裝 CLI 的用戶下次連線就會靜默失效,本地文件不會再被讀取上傳。

Grok Build CLI 上線是為了與 Claude Code、Codex CLI 對打,主打「本地代碼理解 + xAI 大模型推理」,Musk 上月在 X 上稱其「已服務 12 萬開發者」。這批用戶的代碼是否會被留存、如何處置,xAI 至今無回應。

via Reddit r/xAI 討論串 / 前情提要 · Grok CLI 上傳分析
xAI 半夜遠端關掉 Grok CLI 代碼偷傳|服務端加一個字段滅火,客戶端一行沒改