任何时候，当您执行从某人那里获得的、您尚未完全审查的代码并且它在 Internet 连接的系统上运行时，编写或部署该代码的人就有可能将有关您的使用情况的数据传输到另一个系统。无论操作系统如何，都是如此。所以是的，这是可能的。

然后问题变成“过去是否发生过这种情况”，以及“将来是否可能发生”。唯一想到人们可能无意中将来自 linux 发行版的数据发送给第 3 方的情况是 ubuntu linux Shopping Lens，它可能被某些人视为间谍软件。

除此之外，我不知道有任何来自上述 linux 发行版的大规模间谍活动。正如您所说，像 kali 这样的渗透测试发行版显然是一个诱人的目标，但是他们的用户更有可能注意到从他们的系统中不加选择地传输数据。

最终归结为信任。通过执行属于其他人的代码，您就是信任他们（在这种情况下将信任视为“背叛的力量”），您输入该系统的任何数据。

如何建立对系统的信任是一个非常好的问题，据我所知，这个问题还远未得到解答。

有许多具有不同商业模式的 Linux 发行版。虽然他们中的大多数人可能不会主动监视他们的用户，但有些人会故意这样做：

朝鲜的红星 Linux 插入了偷偷摸摸的串行内容跟踪器

ERNW 安全分析师 Florian Grunow 表示，朝鲜的 Red Star Linux 操作系统正在通过使用独特的隐藏标签标记内容来跟踪用户......

为了回答您的问题，我需要提及另一个开源产品（OpenSSL），以便与 Linux 和其他开源项目并行；所以让我给你介绍一个关于它的小故事，希望你能理解其中的逻辑：

HeartBleed是一个漏洞，由Stephen Henson 在 2011 年除夕前一小时首次引入。更准确地说，是当时的博士生Robin Seggelmann 。Duisburg-Essen 大学的一名学生，他为 OpenSSL 开发了 HeartBeat 扩展（HeartBeat已经出现在SSL2.0规范中），并向OpenSSL首席开发人员项目 Stephen Henson 提出了建议，后者未能找到该错误并将其提交到其存储库中。其他人则认为，该漏洞早在公开宣布之前就已为人所知并被利用。

但我为什么要提到这个？让您知道，使用开源软件至少您可以随时自行检查，特别是如果您在此安全领域工作，是否有问题。HeartBleed 漏洞一直是公开的，所以理论上说，任何感兴趣的人都可以在 2014 年 4 月 7 日谷歌安全研究员之前检测到它。但实际上没有人这样做（或者可能是发现它的人并没有披露它，而是更愿意采取为他们的个人目标利用它）。

这个简短的故事适用于所有开源软件：理论上它为您提供了自己或与您的团队一起检查所有内容的可能性，没有什么可以阻止您这样做。这已经是一个很大的优势，许多安全漏洞已经被仁慈的社区阻止了。但在实践中：有多少人（我指的是在安全领域工作的人）有时间和需要的技能来做到这一点？如果有人在开源项目中发现安全漏洞：他/她是否愿意公开它或只是利用它？然而，关于 HeartBleed 有一件重要的事情要提一下：只有 Stephen 是永久开发者，OpenSSL 项目的其他 11 名成员与计算机科学无关，