
一句话看懂:SpaceXAI 旗下 AI 编程助手 Grok Build 被曝在用户未授权情况下上传完整代码仓库,马斯克与官方团队在 48 小时内承认并承诺彻底清除所有历史数据。这是 AI 编程 Agent 领域首次因数据隐私问题引发顶级公司公开“拔线”。
事件核心:发生了什么
7 月 12 日,独立安全研究员 @cereblab 发布报告称,其创建的测试仓库——包含假 API 密钥和密码——在被 Grok Build 处理时,完整上传至 Google Cloud 存储桶。监控显示,一个 12GB 的仓库实际被拆成 73 个数据包上传,传输量达 5.1GB,而模型正常对话仅消耗 192KB。更关键的是,即便用户关闭“帮助改进模型”开关,上传行为依然发生。之后另一位研究者复现时发现,日志中记录了 339 次自动上传,其中一次涉及整个电脑主目录。
报告发布后,上传行为被远程关闭,但官方更新日志未作解释。直至 7 月 14 日,马斯克承认此事(回应词“True”),SpaceXAI 宣布上线 /privacy 命令允许用户一键关闭留存并追溯删除已上传数据,由负责端到端加密产品的高管 Andrew Milich 站台背书。最终马斯克承诺:所有此前上传的用户数据“完全且彻底删除,一个字节不留”。
为什么重要
这是 AI 编程 Agent(Agentic Coding)工具首次被实锤存在系统性隐私漏洞。此类工具拥有读文件、改代码、跑命令的最高权限,用户信任基于“本地优先”的宣传。Grok Build 的“本地”承诺被证伪,意味着开发者将代码交给 AI 时,可能同时交出 SSH 密钥、数据库密码、未发布功能等核心资产。事件直接冲击 Agentic Coding 赛道的信任基础——如果头部公司都无法守住数据本地化底线,竞品(如 Cursor、Copilot 等)也会面临更严格的用户审视。
对用户/开发者/创作者的影响
开发者与企业用户:应立即评估 Grok Build 历史数据是否涉密,建议立即使用 /privacy 命令执行全量删除,并更换所有在开发环境中使用过的 API 密钥和数据库凭据。尤其要检查主目录文件是否被误传——其中可能包含 SSH 密钥、密码管理器数据等。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
AI 编程工具使用者:事件暴露“关闭训练开关不等于停止数据外传”的事实。未来使用同类工具时,应单独关注其数据上传策略,而非仅依赖产品宣传。
内容创作者与个人用户:虽然主要影响开发者生态,但该案例提示所有 AI 工具用户:本地数据不应默认被服务端访问,任何“本地优先”声明都需经过独立验证。
值得关注的后续
1. 数据删除真实性:马斯克承诺“零残留”,但目前公开信息显示,SpaceXAI 未邀请第三方审计或公开删除日志,其执行效果需时间验证。
2. 监管与合规影响:若用户数据在未经同意下被上传至 Google Cloud 存储桶,可能涉及 GDPR 或 CCPA 违规,后续是否有监管机构介入值得关注。
3. 竞品连锁反应:GitHub Copilot、Amazon CodeWhisperer 等同类产品或将被迫主动披露数据流动机制,以争取用户信任。Agentic Coding 赛道的产品设计思路可能因此转向更严格的本地推理方案。
来源:IT之家(RSS)


