
一句话看懂: xAI 旗下 AI 编程工具 Grok Build 被曝在用户未授权情况下上传整份代码仓库数据,马斯克随后亲自承诺并执行了所有历史数据的彻底删除,事件自爆发到解决耗时不超过 48 小时。
事件核心:发生了什么
一名安全研究人员通过创建带有独特标记的“钓鱼”测试仓库,监测到 Grok Build 在用户关闭“帮助改进模型”选项后,仍会将完整的代码仓库及其修改历史打包,发送至第三方存储空间。传输数据量达到数 GB,其中可能包含密钥和配置文件等敏感内容。xAI 团队在收到反馈后,立即停止了该行为,并上线了允许用户一键关闭数据留存、追踪并删除已上传数据的新功能。马斯克本人在回应中明确表示,将确保“不留一个字节”,所有此前收集的用户数据均已彻底清除。
为什么重要
此次事件暴露了 Agentic Coding(智能体编程)工具在权限管理上的核心矛盾——这类 AI 模型为提升生产力,必须获得对用户系统、代码仓库甚至生产环境的深层访问权限,但这同时意味着极高的隐私与安全风险。如果信任基础被击穿,开发者将回归传统工具,整个智能编码赛道的发展会受到严重制约。马斯克的快速、强硬回应,在 48 小时内平息了事态,为行业挽回了一定信心,但也向所有开发工具厂商敲响警钟:权限透明的“隐私优先”设计不再是可选项,而是必备条件。
对用户/开发者/创作者的影响
对于使用 Grok Build 或类似工具的开发者,事件本身即是一个警示:即便工具声称不会收集数据,也要警惕单机或云端的“静默上传”行为。建议开发者在生产环境中使用 AI 编程助手时,主动检查数据保留与上传开关,并定期审查网络流量。对更广泛的 AI 编程赛道而言,用户会显著提升对隐私政策的关注度,工具方如果不能提供可核查的“零数据留存”保障,将很难获得企业级用户的信任。目前公开信息显示,xAI 已通过功能更新满足了这一要求。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,xAI 是否会公开其删除过程的技术审计报告,以重建社区信任;第二,其他 Agentic Coding 工具如 GitHub Copilot、Windsurf 等是否会跟进推出“一键清除历史数据”或“强制本地推理”的隐私保护功能;第三,此事可能促使更多开发者要求所使用 AI 工具的代码仓库行为具备透明可审计机制,从而加速行业内关于 AI 编程助手安全使用标准的讨论与制定。
来源:AIbase


