SpaceXAI 的 Grok 编程工具曾将用户的整个代码库上传到云存储

安全研究人员发现,SpaceXAI 的 AI 编程助手 Grok Build 在后台将用户完整的代码仓库(包括隐私设置排除的文件和已删除的敏感信息)上传至谷歌云存储。该公司在问题曝光后已停用该功能,马斯克承诺删除所有已上传数据,但此举引发了开发者对 AI 编程工具数据隐私与权限控制边界的广泛担忧。

SpaceXAI 的 Grok 编程工具曾将用户的整个代码库上传到云存储

一句话看懂:安全研究人员发现,SpaceXAI 的 AI 编程助手 Grok Build 在后台将用户完整的代码仓库(包括隐私设置排除的文件和已删除的敏感信息)上传至谷歌云存储。该公司在问题曝光后已停用该功能,马斯克承诺删除所有已上传数据,但此举引发了开发者对 AI 编程工具数据隐私与权限控制边界的广泛担忧。

事件核心:发生了什么

据《The Register》报道,研究机构 Cereblab 在周一发布调查结果,指出 Grok Build 的命令行界面(CLI)会将整个代码仓库打包并上传至谷歌云。被上传的数据“包括了被告知不要打开的文件以及已从历史记录中删除的机密信息”,其数据保留范围远超同类工具如 Claude Code。截至周一,测试显示 SpaceXAI 服务器已返回“disable_codebase_upload: true”标志,该上传功能已不再触发。马斯克在 X 平台发文称所有此前上传的数据将被“完全且彻底地删除”,同时澄清“隐私设置始终得到尊重”,但希望开发者允许 SpaceXAI 保留数据,称这“有助于调试问题”。伦敦国王学院独立安全研究员 Lukasz Olejnik 博士向《The Verge》确认,如此大规模的数据保留是“过度的”,潜在风险包括专有源代码、安全漏洞信息、个人数据、基础设施细节及凭证。

为什么重要

此事暴露了 AI 编程工具在数据收集权限层面的重大盲区。在 AI 辅助开发工具快速普及的背景下,开发者信任模型在不触及核心资产的前提下提供智能建议。SpaceXAI 默认且未被明确告知的整库上传行为,直接挑战了“零数据保留”这一行业安全标配。这对于正在快速追赶 OpenAI 和竞品的 SpaceXAI 而言,是一次信任危机。事件也向整个 AI 编程赛道(包括 Copilot、Codeium 等)发出警示:用户代码既是训练和调试的“燃料”,也是不应触碰的“禁区”,如何定义工具访问权限,正在成为比模型性能更关键的合规门槛。

对用户/开发者/创作者的影响

对于使用 Grok Build 的开发者,其私有代码库、API 密钥、数据库凭据以及未公开的商业逻辑均可能因这一策略外泄。而对于正在评估 AI 编程工具的企业和独立开发者,此事件将成为采购决策中安全审核的重要参照:工具是否支持真正本地推理?隐私托管的边界在哪里?当前,SpaceXAI 已提供“/privacy”命令作为会话级别的保留切换,但研究人员指出,该功能并非彻底解决此次上传问题的根本开关。开发者需要核对自己是否在默认设置下运行过 Grok Build,并关注官方更新的隐私协议。

GamsGo AI

AI 工具推荐

想把多个 AI 模型放在一个入口?

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。

值得关注的后续

第一,如何验证“完全删除”的承诺:马斯克称数据将被彻底删除,但外界将密切关注是否会有第三方审计或独立的删除确认报告。第二,产品功能设计的改变:SpaceXAI 是否会将“零数据保留”作为默认配置,并在本地提供完整的语法辅助与代码补全能力,而不再依赖云端上传。第三,行业监管与竞品策略的跟进:美国及欧洲数据保护机构是否因该事件启动调查,以及 Claude、GitHub Copilot 等竞品是否会借此强化“数据不离开终端”的承诺以争夺市场份额。

来源:The Verge

celebrityanime
celebrityanime
文章: 13399

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注