我只让Grok回复一个单词,它就把我整个代码库都偷走了 xAI的官方Grok CLI会在你用它写代码的时候在你完全不知情的情况下把你整个项目的代码仓库打包上传到xAI的云端服务器。之前写过一篇Anthropic偷偷在Claude Code中植入了隐形代码来识别是不是中国用户的事然后爆掉了大家看的特别多。后面国家还特意强调提醒了一下这个事。但是我想说没想到今天更离谱的来了。这次的主角是Grok。xAI的官方Grok CLI会在你用它写代码的时候在你完全不知情的情况下把你整个项目的代码仓库打包上传到xAI的云端服务器。注意我说的不是模型读了你的文件来回答问题这种非常正常的行为是极度狗的开了另一条你根本看不见的通道把你的整个代码库直接压缩成tar.gz然后偷偷的上传到他们自己的一个叫gs://grok-code-session-traces的Google Cloud仓库里。而且不只是代码。在我的亲手验证中他居然直接跨了我的项目库还把我电脑上Claude Code的配置文件一起传了上去甚至包括了我的某个API密钥。。。我整个人都懵逼了我去验证的时候还特意是让Codex直接伪造了一个合成仓库去验证的没想到这个狗东西不仅把整个合成数据库给搬空了还直接把我的.claude整个配置全部搬走了我真的不知道该说啥好了。马斯克大哥你平时狗一点就算了为了偷数据现在都这么不择手段了吗先说这件事的起因。昨天晚上推特上有个博主发了一条帖子说有人逆向了Grok CLI之后发现了一个极其离谱的机制。他的原话大概是Grok CLI会在每一轮任务开始前和结束后各打包一次你当前工作目录的完整状态然后静默上传到xAI控制的远端存储。因为这个帖子浏览量巨低我当时第一反应是不至于吧。因为Grok 4.5这两天口碑很好速度直接快到飞起我自己也在体验虽然GPT-5.6 Sol这几天实在过于量大管饱了Grok 4.5在我这没啥出场机会但是我当时还是觉得估计又是啥博眼球的假新闻。毕竟xAI再怎么样也是一家正经公司不可能做这种事。但是职业习惯我还是把这个事进行了一遍验证。我直接就上Codex了先装了xAI官方的npm包xai-official/grok版本0.2.93确认了Apple签名属于X.AI Corporation排除了社区同名包的干扰。然后反混淆了二进制文件。打开的瞬间我就知道这事肯定是真的了。二进制里赫然写着repo_state.upload、before_codebase、after_codebase.tar.gz、gs://grok-code-session-traces以及上传成功、上传失败、上传禁用的完整执行分支这尼玛是一条完整的、生产级的上传管线。但是秉持着对老马剩余的那一点信心我觉得说字符串存在不代表它一定在跑对吧所以我还需要验证的是它默认到底会不会触发。然后呢我就去建了一个隔离测试仓库里面全是虚构的假数据不碰任何真实项目。然后用这个仓库跑了一次最简单的Grok任务让模型只回复一个单词不调用任何工具。结果很有意思。我的账号从xAI服务器拿到的远程配置是「遥测开启但代码快照上传关闭」。也就是说默认运行没有上传我的仓库日志里明确记录着没有上传队列跳过。然后我手动把上传开关打开了想验证这条管线到底能不能跑通、它具体会收走什么。这一开天就塌了。即使模型没有调用任何文件读取工具Grok CLI仍然成功上传了before_codebase.tar.gz和after_codebase.tar.gz也就是我的代码库的之前的状态和AI介入之后的状态加上会话状态、对话记录、配置和日志。全部传到了xAI的谷歌云仓库上。但真正让我血压飙升的是上传包里的内容远远超出了当前仓库的范围。它不仅传了仓库里的代码还传了仓库之外的东西。我的~/.claude.json、我的Claude Code设置文件、我的全局AGENTS规则、我的30多个Skill文件全部被标记为supplemental_file也就是补充上下文文件一起塞进了上传包。Grok CLI为了兼容Claude Code在启动的时候会主动扫描你电脑上Claude Code的配置文件让你不用重新设置就能继承Claude Code的环境这个功能本身还算贴心。但问题是他们这个离谱的收集器的设计逻辑是只要Grok在运行过程中读取了某个文件就把完整文件收进上传包。也就是说它根本没有把边界限制在当前仓库也没有把别家工具的敏感配置排除在外只要我读到了你的所有东西都是我的。然后事情变得更糟。我检查了被上传的文件列表发现我的~/.claude/settings.local.json里面有一个env.MIAODA_API_KEY字段。这个Key是我的百度秒哒的一个Skill的key直接就被泄露了送到了xAI的云盘里。我没有主动给Grok任何密钥我甚至没有让Grok读取任何文件。我只是让它回复一个单词但因为它在启动时自动扫描了Claude Code的配置而收集器又把所有读取过的文件一股脑打包上传我的所有的东西就这么成了未来Grok的一部分了。然后更离谱的事来了。大家还记得我今天说的是它的代码都是齐全的但是默认是不上传的我硬生生手动把开关打开了后续才有了所有上传的操作。你可能会说那不就是你贱吗你自己打开的那怪谁啊。但是我想说的是但凡我早两个小时测你可能就会发现根本没有什么开关这回事这玩意默认就是打开的。这个安全研究者cereblab应该是第一个发现这件事的他不仅抓了包还做了一个复现仓库保存了完整的网络请求记录。但关键转折是他保存的一份7月13号的xAI服务器响应。里面同时出现了两个字段trace_upload_enabled等于false以及一个新增的disable_codebase_upload等于true。而他最初抓包的时候同一个0.2.93版本的客户端收到的配置是trace_upload_enabled等于true。客户端没有更新二进制哈希完全一样但行为变了。只有一个解释xAI通过服务端远程开关在这个博主曝光之后悄悄把上传功能关掉了。时间线大概是这样的。7月10号cereblab抓到默认上传行为。7月12号晚上另一个博主mylifcc发帖公开了同样的发现帖子迅速传播。7月13号凌晨cereblab发现xAI服务端新增了disable_codebase_upload字段上传被远程关闭但是所有的配置都留下来了后面其实也是可以无感开启。这个操作本身就说明了一切。如果这个功能是合理的、经过用户知情同意的你为什么要在被曝光之后偷偷关掉呢如果你觉得没问题你应该站出来解释说“哦这是我们的trace诊断功能用户可以选择开启或关闭数据仅用于XX用途”对吧。但他们选择了静默关闸。这意味着xAI自己也清楚这件事尼玛根本见不得光。因为这真的就是我整个见过的最离谱的事了。Claude Code做的事情是在系统提示词里用一个不可见的Unicode字符给你的请求打分类标记人贱是贱但是它至少目前没有采集你的代码没有上传你的文件没有碰你的密钥核心问题在于它偷偷做、不告诉你就是尼玛的纯恶心你。但是Grok CLI做的事情是把你的整个代码仓库打包上传到远端服务器连带你电脑上其他工具的配置文件和API密钥通过一条独立于模型请求的旁路通道在你完全不知情的情况下完成。用形象的话比喻就是。一个是在你的外卖订单上偷偷贴了个小标签。一个是把你家钥匙复制了一把还顺带着把你邻居家的钥匙也一起顺手牵羊一起顺走了。真的太离谱了Agent确实越来越发达能做的事也越来越多。但这也确实代表着你的隐私几乎就是裸奔全看对面的良心。Claude Code能执行你的Shell命令Grok CLI能扫描你的整个文件系统Codex能操控你的浏览器。一个Agent产品它们现在拥有的权限已经跟你电脑上的一个管理员账户没有太大区别了。这个权限量级在整个软件行业的历史上只有操作系统和杀毒软件享受过。但操作系统有几十年的安全审计体系杀毒软件有行业认证和监管框架。AI Agent有什么。什么都没有。没有一个行业标准规定AI Agent必须公开它在本地读取了哪些文件没有一个规范要求Agent的上传行为必须经过用户的显式同意没有一个第三方机构在审计这些工具到底在你的电脑上干了什么。整个行业现在是在裸奔。也是挺悲哀的。最后说一句如果装了Grok CLI的赶紧卸载。能卸多快就卸多快。希望有一天我们不再需要靠逆向二进制文件才能知道自己的工具在背后做了什么。那一天到来之前保持警觉。