Grok Build 正将整个 Git 仓库上传到 xAI 的云端,包括已提交的机密信息

7月12日,安全研究员公布证据显示,xAI 的 Grok Build 工具在实际运行时,会将开发者整个 Git 仓库(包括完整历史、已提交的密钥和机密信息)上传至 xAI 云端,上传量远超任务所需,且隐私开关失灵。这与 xAI 宣称的“不会传输代码”直接矛盾。

Grok Build 正将整个 Git 仓库上传到 xAI 的云端,包括已提交的机密信息

一句话看懂:7月12日,安全研究员公布证据显示,xAI 的 Grok Build 工具在实际运行时,会将开发者整个 Git 仓库(包括完整历史、已提交的密钥和机密信息)上传至 xAI 云端,上传量远超任务所需,且隐私开关失灵。这与 xAI 宣称的“不会传输代码”直接矛盾。

事件核心:发生了什么

安全研究员 cereblab 对 Grok Build 0.2.93 版本进行网络层分析,发现该工具会打包开发者整个 Git 仓库(含完整提交历史和已提交的 API 密钥),并上传至 xAI 的一个 Google Cloud Storage 存储桶。分析显示,上传数据量约为编程任务实际所需数据的 27,800 倍。研究员通过拦截上传请求,从抓取的 Git 包中成功恢复了 AI 代理明确被告知“禁止打开”的文件。

xAI 此前宣称该工具“在会话期间不会向 xAI 服务器传输任何代码”,但实际网络数据直接否定了这一说法。报道还指出,设计用于阻止传输的隐私开关完全无效。xAI 创始人 Elon Musk 已确认上传行为存在,并称公司此前已删除所有 Grok Build 用户数据,但未提供第三方审计报告。

为什么重要

这一漏洞对 xAI 而言是严重的信誉打击。Grok Build 是 xAI 与 Grok 4.5 同时推出的产品,定位是 Claude Code 和 Cursor 的竞品,目标正是赢得企业级开发者的信任。然而,未经加密的整个 Git 仓库上传,尤其是包含已提交的机密信息,是安全合规的致命短板。在欧盟已有监管机构认定 Grok 先前未经同意使用 X 用户数据训练模型“非常可能”违反欧盟法律,且四分之一欧洲企业已禁用 Grok 的背景下,此事件进一步加剧了企业用户对其数据安全能力的担忧。

对用户/开发者/创作者的影响

对于使用 Grok Build 的开发者,他们的 Git 仓库历史(包括已删除但提交过的 API 密钥、密码、内部代码)已被完整上传至 xAI 云端,存在泄露风险。对于正在评估 Grok Build 的企业采购方,这一事件是重大安全警示,意味着目前无法信任该工具的隐私承诺。对于所有 AI 编程工具用户而言,这一事件提醒在接入第三方 AI 服务时,应审视实际网络行为,而非仅依赖产品宣传。

GamsGo AI

AI 工具推荐

想把多个 AI 模型放在一个入口?

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。

值得关注的后续

第一,xAI 目前仅声明“零数据保留”并新增了 /privacy 端点,但缺乏第三方审计。后续是否有独立安全机构验证删除,将决定企业用户能否重建信任。第二,xAI 是否会在 Grok Build 的后续版本中真正实现“不上传完整仓库”的能力,或开发本地推理模式,仍是关键产品迭代点。第三,Claude Code、Cursor 等竞品是否会借此事件加强隐私宣传,并推动行业形成更严格的 AI 编程工具数据透明标准,值得观察。

来源:The Next Web

celebrityanime
celebrityanime
文章: 13397

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注