ITBEAR科技资讯
网站首页 科技资讯 财经资讯 分享好友

马斯克确认Grok Build偷传用户代码,SpaceXAI紧急清零数据难消开发者担忧

时间:2026-07-14 19:07:40来源:天脉网编辑:快讯

一场由独立安全研究者引发的风波,将SpaceXAI旗下AI编程工具Grok Build推上风口浪尖。这款今年5月上线的产品,曾以"本地优先"为卖点,宣称用户代码始终保留在本地设备。然而,安全研究员@cereblab通过精心设计的测试,揭开了这层伪装——Grok Build不仅在用户不知情的情况下上传代码,甚至将整个仓库的修改历史打包发送至第三方服务器。

测试过程堪称教科书级操作:研究者创建包含虚假API密钥和数据库密码的测试仓库,通过监控网络流量发现,Grok Build在执行简单任务时,竟将12GB仓库中的5.1GB数据拆分为73个数据包,全部上传至Google Cloud存储桶。更令人震惊的是,所谓"帮助改进模型"的关闭选项形同虚设,数据传输量达到正常对话流量的27,800倍。另一位研究者的复现测试显示,该工具甚至尝试上传电脑主目录,包含SSH密钥、密码管理器等敏感信息。

事件曝光后迅速引爆开发者社区。Hacker News和Reddit等平台涌现大量讨论,有媒体形容"开发者集体打开密码管理器"。企业用户尤为恐慌——生产环境密钥、未发布功能等商业机密可能已泄露,而他们甚至无法确定具体损失范围。尽管SpaceXAI在报告发布后悄然停止上传行为,但官方更新日志对此事只字未提,这种沉默态度加剧了用户的不信任感。

面对舆论压力,Grok团队紧急推出/privacy命令,允许用户追溯删除已上传数据,并由新任加密产品高管Andrew Milich出面背书。马斯克最终拍板,承诺彻底清除所有历史用户数据。这场危机从爆发到解决仅用48小时,但留给行业的思考远未结束:AI编程工具掌握着系统最高权限,既能协助开发,也可能成为数据泄露的隐患。当技术巨头们竞相布局Agentic Coding赛道时,如何重建用户信任将成为比代码更重要的课题。

更多热门内容