每日AI快讯 | xAI 官方 Grok CLI 被曝静默上传整个代码库及用户密钥

发布时间: 2026-07-13 文章分类: AI快讯
阅读量: 0
AI智能体
企业级AI智能体开发与部署
LumeValley提供全栈式企业级AI智能体开发与部署服务,涵盖战略规划、场景化开发、企业级应用构建、行业解决方案及算力支撑。从需求分析到持续优化,确保智能体高效稳定运行,助力企业实现智能化转型,提升运营效率与竞争力。

Grok CLI 偷偷打包你的整个代码库,连 API 密钥都一起上传——这件事不是猜测,已经被反复验证。在 npm 包 @xai-official/grok 0.2.93 版本中,每轮任务前后会自动生成 before_codebase.tar.gzafter_codebase.tar.gz,通过一条独立的旁路通道,安静地送进 xAI 的 Google Cloud 仓库。更离谱的是,哪怕模型只回一个单词,这个动作照常执行,完全不考虑本地上下文是否必要。上传包里还额外包含了仓库范围之外的 ~/.claude.json、Claude Code 设置、全局 AGENTS 规则、三十多个 Skill 文件,以及一个明晃晃的 API 密钥。这意味着一次普通的对话,可能就把开发者十几层安全防线直接穿透。

7 月 13 日凌晨,xAI 没发布任何公告,只是在服务端新增了一个 disable_codebase_upload 远程开关,把此前默认开启的上传行为悄悄关掉。从产品逻辑看,这等于承认了之前的机制有问题——但在此之前的每一分钟,所有安装了该版本 Grok CLI 的开发者,都在毫无提示的情况下持续上传代码库和密钥。这种级别的静默泄露,放在任何一家正经的 PaaS 平台都会触发事故定级,而 xAI 的应对方式仅仅是远端拨动一个开关。你要做的不是感谢它最终关掉,而是立刻检查依赖树里是否还挂着这个包,果断卸载,并把已泄露的密钥全部轮转。

AI智能体
企业级AI智能体开发与部署方案
LumeValley打造企业级AI智能体全流程方案,涵盖需求洞察、定制开发、多平台适配部署。凭借专业算法与丰富经验,确保智能体精准理解业务,高效执行任务,无缝融入企业生态,为企业数字化转型提供强劲智能引擎,提升核心竞争力。
点赞 | 82

Lumevalley——全栈AI服务领航者,以“战略-应用-算力”三位一体服务框架,为企业提供从顶层战略规划、场景化AI智能体(AI Agent)开发/搭建/部署,到企业级AI应用开发、AI+行业场景解决方案的全链路服务,并配套AI大模型部署与高性能AI算力底座支撑,助力客户在营销、服务、运营等核心环节实现效率倍增与模式创新。

马上扫码获取产品资料
相关文章

相关文章

填写以下信息, 免费获取方案报价
姓名
手机号码
企业名称
  • 建筑建材
  • 化工
  • 钢铁
  • 机械设备
  • 原材料
  • 工业
  • 环保
  • 生鲜
  • 医疗
  • 快消品
  • 农林牧渔
  • 汽车汽配
  • 橡胶
  • 工程
  • 加工
  • 仪器仪表
  • 纺织
  • 服装
  • 电子元器件
  • 物流
  • 化塑
  • 食品
  • 房地产
  • 交通运输
  • 能源
  • 印刷
  • 教育
  • 跨境电商
  • 旅游
  • 皮革
  • 3C数码
  • 金属制品
  • 批发
  • 研究和发展
  • 其他行业
需求描述
填写以下信息马上为您安排系统演示
姓名
手机号码
你的职位
企业名称

恭喜您的需求提交成功

尊敬的用户,您好!

您的需求我们已经收到,我们会为您安排专属电商商务顾问在24小时内(工作日时间)内与您取得联系,请您在此期间保持电话畅通,并且注意接听来自广州区域的来电。
感谢您的支持!

您好,我是您的专属产品顾问
扫码添加我的微信,免费体验系统
(工作日09:00 - 18:00)
电话咨询 (工作日09:00 - 18:00)
客服热线: 18011747352
售前热线: 189 2432 2993
扫码即可快速拨打热线