返回行业动态

Grok CLI 被曝静默上传代码库及 Claude 配置致 API 密钥泄露

2026/07/13 03:49
查看原文

OmniTools 7月13日消息,安全研究者发现,xAI 推出的 Grok CLI(npm 包 @xai-official/grok v0.2.93)存在严重隐私风险:该工具在用户无感知状态下,将当前项目整个代码库压缩为 tar.gz 文件并上传至 xAI 托管的 Google Cloud 存储。

进一步验证显示,即使模型仅返回单个单词且未启用任何文件操作功能,CLI 仍会持续上传代码快照、会话记录及本地配置。更关键的是,上传逻辑跨项目扫描用户主目录下的 Claude Code 配置文件(包括 ~/.claude.json 和 settings.local.json),导致其中存储的 API 密钥被一并上传。

xAI 在问题曝光后通过服务端远程开关暂停了上传行为,但相关代码逻辑仍未从客户端移除。研究人员建议用户立即卸载该 CLI 工具。

相关背景

想继续了解,可以看这些

从这条动态出发,继续查看相关分析、产品详情和同主题更新。

最新工具

刚收录的 AI 工具,适合顺手发现可用产品。

查看全部