#013 · 供应链核验

验证 Grok Build CLI 上传用户代码仓库事件

安全研究者 cereblab 披露 Grok Build CLI v0.2.93 会把整个代码仓库连同完整 git 历史上传至 xAI 云端。分析人员基于 AVL Code 对该版本的离线安装样本做静态分析,逐条核验传言与客户端代码是否对应。

生成依据:AVL Code + 澜砥大模型

Grok Build CLI供应链核验数据外泄污点传播分析静态分析

案例概述

面对 cereblab 公开的 Grok Build CLI v0.2.93 整库上传指控,手上只有一个 42.8 MB 的离线安装包,没有源码。分析人员基于 AVL Code 双 Agent 并行核验:一路抓取 cereblab 的复现仓库与公开抓包证据,一路对样本做解压、熵值计算、字符串与 IOC 抽取、ELF 解析,再把两侧逐条对照,约 20 分钟完成从样本指纹到污点路径的核验。结论是上传链路的零件在客户端二进制中确实齐全——存储桶 grok-code-session-traces、上传端点 POST /v1/storage、独立于模型通道的上传开关、devstorage.full_control 凭据权限与 git bundle 打包能力一一对应;同时明确划出边界:静态分析证明「能做」,「做了」仍需依赖 cereblab 的动态抓包证据。

核心成果

  • 逐条核验 8 项公开指控,6 项与样本代码吻合,2 项如实标注为「部分可推断」与「依赖外部动态证据」
  • 在客户端二进制中定位完整上传链路:存储桶 grok-code-session-traces、端点 POST /v1/storage、GROK_TRACE_UPLOAD_* 上传开关与 devstorage.full_control 凭据权限
  • 还原「工作区 → git bundle → GCS」污点传播路径,指出读取拒绝(--deny)拦不住文件被打进 bundle 的权限错位
  • 双 Agent 并行,约 20 分钟从一个 42.8 MB 离线安装包完成核验,全程样本在只读沙箱内分析

技术亮点

双 Agent 并行(外部证据抓取 + 样本静态分析)熵值验证解压正确性(7.999 → 6.24)字符串与 IOC 抽取定位上传链路污点源—传播路径—污点汇建模样本沙箱只读,拒绝在样本目录内执行命令静态与动态证据边界分离

落地价值

为企业评估闭源 AI 编程工具的数据边界提供了一套可复核的方法:在只有安装包、没有源码的前提下,仍能回答「这套上传机制在不在二进制里」。该流程可复用于任何闭源客户端的供应链核验——把传言拉回样本与证据本身,在指控与实证之间留下可追溯的对照,而不是停留在转述。

相关产物