2026 年 7 月,独立 AI 安全研究员 cereblab 发布了一份针对 xAI Grok Build CLI(v0.2.93)的线级(wire-level)流量分析 ,在 Hacker News 与开发者社区引发广泛讨论。结论令人毛骨悚然:该工具会在你毫不知情 的情况下,将整个 Git 仓库------包括 .env 中的生产密钥、你明确禁止读取的文件、甚至三年前那次「临时提交」的 Git 历史------打包上传至 Google Cloud Storage 的 grok-code-session-traces 存储桶。
你以为自己在跟 AI 结对编程,实际上可能是在主动把公司钥匙串寄给陌生人 。更可怕的是,关闭「Improve the model(改进模型)」选项并不能阻止上传 。研究者的原话是:"Opting out does not stop your repository from leaving the machine." (选择退出并不能阻止你的仓库离开本机。)------翻译过来就是:你关掉了开关,数据照样在跑。
智能体安全数据泄露Grok CLI国产开源智能体本地优先
⚠ 紧急提醒 :若你曾在含生产密钥的代码库中使用过 Grok Build CLI,请立刻、马上、现在 轮换所有可能暴露的凭证(API Key、数据库密码、OAuth Token 等),并审计相关访问日志。Wire-level 分析已证实 .env 内容未经脱敏即被上传------你的密钥可能已经在别人的存储桶里了。 
你以为 Agent 在帮你写代码,它可能在帮你「搬家」------把整个仓库搬到 Google 的云上
一、事件核心:两条数据通道,一条你看得见,一条你看不见

通道 A 是你知道的;通道 B 是你从未被告知的那条「暗道」
大多数开发者对「AI 编程助手读文件」有心理预期:Agent 打开某个文件,文件内容进入模型上下文,用于生成回答------最多也就这些了吧? Grok Build CLI 确实走这条路径,通过 POST /v1/responses 将 Agent 读取的文件内容送入模型推理。
但 cereblab 的测试揭示了一个更惊悚的事实:Grok 同时运行第二条独立通道 ------后台将整个工作区打包为 Git Bundle,经 POST /v1/storage 上传至 GCS。两条通道并行,互不依赖。你看到的,只是冰山一角。

1.1 关键实验数据
| 实验场景 | 结果 | 含义 |
|---|---|---|
| 提示词:"Reply OK, do not read any files" | 仍上传完整 298 文件仓库为 Git Bundle | 上传与 Agent 是否读文件无关 |
| 植入 never-read 金丝雀文件 | 从捕获的 Bundle 中 git clone 可恢复该文件,内容 verbatim |
未读文件同样被上传 |
| 12 GB 从未读取的随机文件仓库 | Storage 通道传输 5.10 GiB,模型通道仅 192 KB | 传输比约 27,800×,证明目标是代码库本身 |
| 关闭 "Improve the model" | /v1/settings 仍返回 trace_upload_enabled: true |
Opt-out 不阻止上传 |
含 .env 密钥的仓库 |
密钥内容在两个通道中均未脱敏 | 生产凭证直接暴露 |
二进制分析还发现了 xAI 自研的 Rust crate xai-data-collector,其中嵌入了 grok-code-session-traces、storage.googleapis.com 等字符串,以及日志 "Uploading bytes to GCS via proxy" 。这不是偶发 bug,不是网络抖动,而是出厂就自带的数据采集机制------一个写死在二进制里的「静默搬运工」。
「Improve the model」开关控制的是训练数据授权,不是代码上传行为。你以为关掉了隐私选项,实际上只是关掉了「允许用来训练」------代码该走还是走。
二、为什么这对智能体安全是分水岭事件

你以为的安全边界,可能只是厂商文档里画给你看的一条线
过去讨论 AI 编程助手安全,焦点多在「模型会不会记住你的代码」「云端推理是否合规」------这些问题已经够让人失眠了。Grok CLI 事件把问题推到了更底层、更无解 的层面:Agent 工具本身可能在后台执行与你指令完全无关的数据外传,而你毫无感知,直到有人抓包。
2.1 信任模型的崩塌
开发者对 CLI Agent 的典型信任假设包括:
- Agent 只读取它「需要」的文件
- 关闭隐私/训练相关选项后,数据不会离开本机
- 未打开的文件不会被传输
- 敏感文件(
.env、credentials.json)会被自动排除或脱敏
Grok CLI 的 wire-level 证据逐条推翻了以上假设 。DEV Community 上的评论用了一个让人后背发凉的比喻:你雇装修工修一个房间,却发现他悄悄复印了整栋房子的文件------包括保险柜里的内容------寄到了总部,而且是在你明确说「别进其他房间」之后。更恐怖的是,装修工还自带复印机,出厂就装好了。
2.2 影响范围
| 受影响对象 | 风险 |
|---|---|
| 个人开发者 | Side project 里的 Stripe Key、AWS Secret------可能已经在 GCS 上了 |
| 创业团队 | 完整代码库 + Git 历史外传,竞品若拿到早期 commit,商业机密荡然无存 |
| 企业工程团队 | 一个实习生装了个 CLI,整个部门触发数据出境合规事件------这不是危言耸听 |
| 开源维护者 | 代码公开不代表安全:部署密钥、CI Token、Maintainer 私钥全在 .env 里 |
2.3 这不是 Grok 独有的问题
在 Grok 事件之前,社区已在讨论 OpenAI Codex 的敏感文件排除机制、Claude Code 的隐写标记等问题------每一款主流 Agent 都有各自的「数据边界模糊地带」 。Grok CLI 的特殊之处在于:有完整的 wire-level 证据链,且行为发生在默认开启、安装文档零披露的情况下。它给所有智能体用户敲了一记警钟:在引入任何 CLI Agent 之前,必须做网络流量审计 ------读隐私政策不够,看 UI 设置也不够,只有抓包不会骗你。
三、智能体安全评估框架:五个必问问题

别信文档,信抓包------27800× 的传输比不会说谎
基于此次事件及行业血泪教训,团队在选型或允许员工使用 AI 编程 Agent 时,建议至少回答以下五个问题------任何一个答不上来,都意味着你在裸奔:
- 数据边界:Agent 运行时,哪些数据会离开本机?是「读什么送什么」,还是「整个工作区打包上传」?
- Opt-out 有效性:关闭隐私/训练选项后,是否仍有后台通道在传输数据?能否用流量抓包验证?
- 敏感文件处理 :
.env、密钥文件、私钥是否有自动排除与脱敏机制?机制是否可审计? - 部署形态:能否完全内网部署、接本地模型,使推理与数据存储均不出域?
- 开源可验证性:核心 Gateway 与数据采集逻辑是否开源?能否自行编译、审计二进制?
bash
# 简易流量审计示例(macOS/Linux)
# 在运行 Agent 前启动抓包,观察是否有意外的 /storage 或云存储上传
sudo tcpdump -i any -w agent-session.pcap host api.x.ai or host storage.googleapis.com
# 或使用 mitmproxy 做 HTTPS 解密(需安装 CA 证书)
mitmproxy --mode local --save-stream-file agent-flow.mitm
四、事件后的应急处置清单

每一分钟的延迟,都可能是攻击者在试用你的 AWS Key
若你或团队成员曾在敏感仓库中使用 Grok Build CLI,不要等 xAI 发公告------按优先级立刻执行:
| 优先级 | 动作 | 说明 |
|---|---|---|
| P0 | 轮换所有可能暴露的密钥 | API Key、DB 密码、JWT Secret、OAuth Client Secret |
| P0 | 审计云服务商访问日志 | 检查密钥是否在泄露后被异常调用 |
| P1 | 暂停在含敏感数据的仓库中使用 Grok CLI | 直至 xAI 给出明确修复与披露 |
| P1 | 更新团队 AI 工具使用政策 | 明确禁止在未审计的工具中处理生产代码 |
| P2 | 评估替代方案 | 转向本地优先、开源可审计的智能体平台 |
五、转向本地优先:国产开源智能体的安全优势

左:闭源 CLI 把你的代码送上云端;右:本地 Gateway + 本机模型,数据不出域
Grok CLI 事件加速了一个已有趋势:把 Agent 跑在自己机器上,把模型推理留在内网 ------这不是「极客玩法」,而是生存策略。在国产技术栈语境下,这一路径还有额外收益:兼容国产大模型 API、适配信创环境、满足数据不出域的合规要求。
5.1 国产智能体生态:「百虾大战」与安全暗礁
2026 年上半年,OpenClaw 在全球开源社区引发「龙虾效应」后,国内迅速涌现一批基于 OpenClaw 二次封装或生态嫁接的国产智能体------业界戏称「百虾大战」。网易有道 LobsterAI、ClawManager、StepClaw、QClaw、ArkClaw 等产品相继登场,各自主打 IM 本土化、企业集群治理或桌面易用性。
这些产品不是 OpenClaw 本身 ,但在底层往往仍依赖 OpenClaw Gateway 运行时、Node.js 生态与插件体系。Grok CLI 事件告诉我们:安全审计不能只看「外壳是谁做的」,更要问------运行时有没有暗道?配置同步会不会把密钥带出本机?Skill 插件供应链谁把关?
| 项目 | 形态 / 底座 | 核心卖点 | 需警惕的安全面 |
|---|---|---|---|
| LobsterAI | |||
| 网易有道 · 国版「龙虾」 | Electron 桌面 + OpenClaw 运行时 | 钉钉/飞书/企微 IM 远程派活,7×24 本地执行,SQLite 本地存储 | Electron 主进程权限极大;OpenClaw 配置同步层(openclawConfigSync)若处理不当,模型 Key 与 IM Token 可能落盘明文;IM 通道接入意味着外部消息可触发本地 Shell |
| ClawManager | |||
| K8s 控制平面 | Kubernetes 集群 + OpenClaw 实例编排 | AI Gateway 统一模型治理、全链路审计、成本核算、Skill 扫描 | 企业级能力背后是复杂度换安全:Network Policy / Egress Proxy 配错即裸奔;多租户 Pod 隔离失效可导致跨实例数据泄露;Skill 扫描≠零信任 |
| CoPaw | |||
| 阿里 AgentScope 团队 | Python · AgentScope 独立框架 | 钉钉/飞书/QQ 多频道,ReMe 长期记忆,本地模型 + Skills 扩展 | 非 OpenClaw fork,但同样面临 Skill 路径穿越、插件 API 鉴权、云端部署空间公开等风险;官方已提醒「云端部署需设为非公开」 |
| StepClaw / QClaw / ArkClaw 等 | OpenClaw 衍生 / 平台绑定 | 各自绑定 StepFun、通义、飞书等平台能力 | 平台绑定越深,数据出境路径越多;需逐一审计模型 API 调用链与 IM Webhook 入口 |
| OpenOcta | |||
| 独立国产开源路线 | Go 单二进制 · 非 OpenClaw fork | Control UI 内嵌,755+ Skills,内嵌 GGUF 本机模型 | Apache-2.0 社区版可审计;无 Node 依赖链;无 OpenClaw 式配置同步层;本地 Gateway + 本机模型。企业版 OpenOcta-AMC 提供六域安全策略、Config Vault 密钥治理、多租户 RBAC 与全链路审计 |
5.1.1 OpenClaw 系衍生品的共性安全风险
无论你用的是 LobsterAI 的「桌面龙虾」还是 ClawManager 的「集群龙虾」,以下风险值得在引入前逐项排查:
- 运行时继承:底层 OpenClaw Gateway 的 Node.js 依赖树、第三方 Plugin 默认权限------Grok CLI 证明「官方 CLI 都能藏暗道」,fork 产品更难保证干净
- IM 入口 = 攻击面 :钉钉/飞书/企微机器人一旦接入,任何能发消息的人(或被盗号的同事)都可能触发 Agent 读文件、跑脚本------你的 Agent 24 小时在线,攻击者也是
- Skill / MCP 供应链 :社区 Skills 即插即用,但谁审查过 Skill 里有没有
curl外传、有没有读~/.ssh?ClawManager 虽有 Skill 扫描,个人桌面版往往没有 - 配置层密钥堆积 :模型 API Key、IM Bot Token、OAuth Secret 分散在 YAML/JSON/SQLite 多处------一次备份泄露,等于钥匙串整体曝光
- 「本地运行」≠「数据不出域」 :Gateway 在本地,但默认模型仍可能走境外 API;需像 Grok 事件后那样,主动切换本机模型并抓包验证
国产智能体的竞争焦点是「谁更好用」,但 Grok CLI 提醒我们:安全问题的焦点是「谁在碰你的代码、数据去了哪里」------这两件事,包装再好看也绕不过去。
共同特征是:Gateway 跑在你控制的机器上,不等于安全边界由你定义。选型时必须穿透产品外壳,审计运行时行为、网络出口与插件权限------而非只看「国产」「开源」「本地部署」三个标签。
5.2 OpenOcta:国产开源智能体的本地优先实践
在上述方案中,OpenOcta 作为国产开源智能体 项目,走了一条对安全敏感团队更友好的路径:Go 编译的单一静态二进制 ,内嵌 Control UI(默认 localhost:18900),无需 Node/Python 运行时,也无需把代码库上传至第三方云存储。
以下是 OpenOcta Control 的实际界面(内网部署实测截图):

192.168.50.254:18900 实测截图 --- Agent 显式展示可调用的 Skills 与工具链,每一次调用均可追踪
与 Grok CLI 的「整个仓库静默上传」形成鲜明对比:OpenOcta 的文件访问遵循 Agent 工具链的显式调用 ------读哪个文件、执行哪条命令,在 Gateway 日志中可追踪、可审计。没有 xai-data-collector,没有 grok-code-session-traces,没有你在睡觉时偷偷运行的暗道。
5.2.1 企业版 OpenOcta-AMC:从「个人能用」到「组织能管」
社区版 OpenOcta 解决的是个人与小团队快速跑通智能体 ;当 Grok CLI 这类事件把「Agent 安全」推到企业合规议程上,单靠「本地 Gateway」往往不够------还需要租户级策略、密钥治理、审批闭环与可观测审计 。这正是 OpenOcta-AMC(企业版) 的定位:多租户智能体控制面,不重复造一个聊天机器人,而是为企业资产(人、知识、工具、渠道、运行时)提供可控、可审计、可扩展的 AI 底座。
AMC 在安全与配置管理上,与 Grok CLI 暴露的问题形成直接对照:
| 能力模块 | 解决什么问题 | 与 Grok / 百虾系风险的关联 |
|---|---|---|
| 六域安全策略体系 | 网络黑白名单、工具拦截、Prompt 风险检测、工具限流、资源扫描、HITL 审批------统一策略包,按用户/数字员工绑定,多策略合并取最严 | 应对「Agent 24 小时在线 + 外部 IM 触发 Shell」;高危工具调用需人工审批后才执行 |
| Config Vault 配置管理 | 数据库/K8s/API/HTTP 等 7 类配置模板;Skill、MCP、数字员工只存引用不存明文 ;延迟还原注入子进程,对大模型不可见 | 直接回应 Grok 式 .env 密钥泄露------密钥不进聊天上下文、不进 Trace 导出、不进 LLM 可读 API |
| HITL 人机协同审批 | 工具调用与 Prompt 消息双平面审批:Shell 命令、MCP 工具、风险短语命中时暂停 Run,管理员/会话 Owner 批准后继续 | 防止 Agent 被诱导执行破坏性操作;比「事后轮换密钥」更靠前的一道闸 |
| LLM Trace 与报表治理 | 全链路 Trace 保留策略、用量/延迟/模型分布报表、会话按权限隔离 | 满足等保/内审「谁、何时、调用了什么模型、触发了什么工具」的追溯要求 |
| 多租户 RBAC + License | 工作台/管理平台职能分离;企业微信/钉钉/飞书扫码登录;社区版配置包一键迁移至企业实例 | 避免「一个实习生装 CLI 拖垮全公司」------权限边界由平台 enforce,而非靠个人自觉 |
简言之:社区版 OpenOcta 让你把 Agent 跑在本地;OpenOcta-AMC 让你在企业里放心地规模化跑 Agent ------策略写进平台、密钥锁进 Vault、高危操作过人审、全链路留 Trace。对于 Grok CLI 事件后需要向安全部门交差的团队,这比「我们用的是国产开源」更有说服力的,是可演示的治理闭环。
5.3 本机模型:把推理也留在内网
近期 OpenOcta 在模型库中上线了**本机模型(内嵌本地模型)**能力------这是 Grok 事件后更值得关注的方向:不仅 Gateway 在本地,连 LLM 推理也可以完全不出内网。
在 /model-library 页面,模型按三类管理:
- 公有模型(29 个 Provider):DeepSeek、Moonshot、智谱、百炼、讯飞星火等国产 API,按需接入
- 内嵌模型(80 个):一键下载 GGUF 量化模型,按硬件配置自动推荐 S/A/B 级选型
- 本地模型(7 个):Ollama、vLLM、LiteLLM 等本机推理端点 + 已安装的内嵌 GGUF 模型
内嵌模型库会依据你的 CPU/GPU 与内存带宽,给出推理速度与显存占用的评分------不用猜哪个模型能跑,平台直接告诉你:

实测截图 --- 内嵌模型库 80+ 款,Qwen 3.5 2B 已安装,按硬件评分推荐 S/A/B 级模型

实测截图 --- 模型推荐说明:依据显存/内存带宽自动计算推理速度,S 级模型可达 88~238 tok/s
实测环境中,Qwen 3.5 2B 作为内嵌本地 GGUF 模型已直接安装可用------无需配置外部 API Key,推理在本地完成。对于处理含敏感代码、内部文档的场景,这意味着:
- 代码与对话内容不经过任何公有云 LLM API
- 无「月度配额 429」类云端限流问题(截图中公有 API 触达 quota 时,本地模型仍可独立工作)
- 离线或内网隔离环境亦可运行基础 Agent 能力
本地模型并非要替代所有云端大模型------复杂任务仍可切换 DeepSeek、Moonshot 等国产 API。关键在于你掌握切换权 :涉密仓库用本机 Qwen,公开项目用云端强模型,而不是像 Grok CLI 那样在后台静默打包整个仓库。安全不是不用 AI,而是知道 AI 在碰什么、数据去了哪里。
5.4 国产开源智能体选型的安全 checklist
| 维度 | Grok CLI 暴露的问题 | 国产开源智能体(以 OpenOcta 为例) |
|---|---|---|
| 代码外传 | 整个 Git Bundle 后台上传至 GCS | Gateway 本地运行,无内置云采集 crate |
| Opt-out | 关闭训练选项仍上传 | 开源可审计,无隐藏 data collector |
| 密钥暴露 | .env 未脱敏上传 |
本地模型模式下 API Key 非必需 |
| 推理位置 | xAI 云端 | 可选 Ollama / vLLM / 内嵌 GGUF 本机推理 |
| 部署依赖 | 闭源 CLI 二进制 | Go 单二进制 + Apache-2.0 源码 |
| 审计能力 | Wire-level 才能发现 | Gateway 日志 + 开源代码;AMC 版 LLM Trace + 安全审计事件 |
六、行动清单:团队负责人与日常使用者

治理靠制度,安全靠习惯------负责人定边界,使用者守底线
Grok CLI 事件后,安全不再只是「安全团队的事」。团队负责人 需要建立制度与审计机制,每天实际用 Agent 写代码、跑脚本的人才是第一道防线------你装什么 CLI、在哪个目录跑、有没有抓包验证,往往比任何政策文件都更关键。
6.1 给团队负责人:三条治理底线
- 把 AI Agent 纳入供应链安全审计 :与 npm 依赖、Docker 镜像同等对待------一个未审计的 CLI Agent,危害可能超过十个已知 CVE。引入前必须做流量分析与权限评估,LobsterAI / ClawManager 等「百虾」产品也要穿透外壳审运行时。
- 默认本地优先,云端按需 :涉密代码库只允许自托管 Gateway + 本机模型;公有 API 仅用于非敏感场景。写进制度,而不是写在 Slack 口头约定里。
- 偏好开源可验证的国产方案 :Apache-2.0 / MIT 协议、可自编译、可内网部署的开源智能体,比闭源 CLI 更容易通过合规审查------因为你能看到源码里有没有 xai-data-collector 这种东西。
6.2 给日常用 Agent 的人:五条保命习惯
无论你是开发者、运维还是产品经理,只要每天让 Agent 碰文件、跑命令,请把下面五条当作肌肉记忆:
- 先问「数据会去哪」,再问「它能帮我什么」:装任何 CLI / 桌面 Agent 前,花 10 分钟抓包或搜一下有没有 wire-level 分析------Grok CLI 的用户都是「用完才知道」。
- 涉密仓库与公开项目物理隔离 :生产代码、含
.env的目录,不要与装过未审计 Agent 的环境混用;必要时单独机器或单独用户跑 Agent。 - 关掉不必要的 IM 远程触发 :钉钉/飞书/企微机器人很方便,也意味着别人一条消息就能让 Agent 读你磁盘------非必要不开放,开放必设白名单与审批。
- Skill / 插件当 npm 依赖审 :社区 Skills 即插即用,但和
npm install一样可能带恶意逻辑------只装来源可信的,装完看 Gateway 日志有没有异常 outbound 请求。 - 能本机推理就不上云 :处理内部文档、客户数据、未公开代码时,优先切本地模型(Ollama / 内嵌 GGUF);公有 API 留给不含敏感信息的任务。你的 quota 429 可能是好事------说明至少你知道请求出了本机。
负责人定规则,使用者守规则。规则写在纸上救不了「顺手在 prod 目录里跑了个 Grok」------日常习惯才是最后一道闸。
▎本章要点回顾
- Grok CLI 事件:wire-level 证实整个仓库(含 .env 密钥)被上传至 GCS,与 Agent 是否读文件无关;Opt-out 无效
- 安全框架:选型前必问数据边界、Opt-out 有效性、敏感文件处理、部署形态、开源可验证性
- 国产智能体生态:LobsterAI、ClawManager、CoPaw 等「百虾」产品需穿透外壳审计运行时;OpenOcta 走独立 Go 路线 + 本机模型
- OpenOcta 本机模型:模型库支持内嵌 GGUF(如 Qwen 3.5 2B)及 Ollama / vLLM,推理可完全不出内网
- OpenOcta-AMC 企业版:六域安全策略 + Config Vault 密钥治理 + HITL 审批 + 全链路 Trace 审计
- 行动清单:负责人定治理底线(审计 / 本地优先 / 开源可验证);日常使用者守五条习惯(抓包、隔离、IM 白名单、Skill 审查、本机推理)
GitHub: github.com/openocta/op... · 文档: openocta.com