有報(bào)道指出,Grok Build CLI 在執(zhí)行構(gòu)建任務(wù)時(shí),會(huì)悄悄運(yùn)行 git bundle 命令,把本地 Git 倉庫的完整提交歷史打包上傳到遠(yuǎn)程服務(wù)器。更令人意外的是,即使開發(fā)者已經(jīng)明確禁止文件讀取,這個(gè)動(dòng)作依然會(huì)觸發(fā),完全繞過了用戶設(shè)置的安全邊界。
Git bundle 本身是一種將整個(gè)倉庫的歷史壓縮為單個(gè)文件的機(jī)制,通常用于離線備份或在受限網(wǎng)絡(luò)中傳輸代碼。這意味著打包后的數(shù)據(jù)包含所有分支、提交信息、作者細(xì)節(jié)、變更差異等,幾乎等同于把項(xiàng)目的時(shí)間線完整拷貝了一份。
![]()
工具讀取項(xiàng)目代碼或許有合理的一面,比如輔助理解上下文、提升響應(yīng)質(zhì)量。但把全部歷史記錄一股腦上傳,且不理會(huì)“禁止讀文件”的指令,就顯得格外粗暴。這種操作沒有提供任何開關(guān)或提醒,導(dǎo)致開發(fā)者可能在完全不知情的情況下,把多年的代碼演進(jìn)軌跡全部交由外部服務(wù)器存儲(chǔ)。
從安全角度看,Git 提交歷史里時(shí)常埋著敏感信息——早期的調(diào)試腳本、曾經(jīng)誤提交的密鑰、內(nèi)部備注、甚至團(tuán)隊(duì)成員的個(gè)人郵箱。即使當(dāng)前代碼庫已經(jīng)清理干凈,歷史記錄仍可能成為泄露的窗口。而一旦這些數(shù)據(jù)脫離本地,用戶就失去了對(duì)其分發(fā)和保留的控制權(quán)。
目前還不清楚 Grok CLI 收集這些全量歷史的具體用途是什么,但這一行為再次把開發(fā)者工具的權(quán)限邊界問題擺到臺(tái)前。工具強(qiáng)大不等于可以越權(quán),用戶的否決按鈕應(yīng)當(dāng)被認(rèn)真對(duì)待,而不是被一句話繞開。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.