xAI的Grok Build CLI被指窃取用户代码库,上传至谷歌云存储

安全研究人员发现,xAI 推出的开发者工具 Grok Build CLI 存在未经授权上传用户代码的行为。通过拦截代理分析显示,该工具会将用户本地的整个 Git 仓库,包括完整的版本历史记录,打包上传至 xAI 托管的 Google Cloud 存储桶中。测试数据显示,在一个 12GB 的代码库项目中,虽然模型实际处理任务仅产生了 192KB 的流量,但后台静默上传的数据量却高达 5.1GB。更严重的是,工具内包含的“改进模型”开关并未起到禁用上传的作用,即便用户关闭该选项,上传依然发生。由于上传包含 .env 等配置文件,开发者的 API 密钥和敏感凭证也被一并泄露。在问题被公开披露后,xAI 已通过服务端配置远程禁用了该上传功能,但目前尚未发布任何官方声明解释上传目的或已收集数据的处理方式。

事件分析

从技术视角审视,这是 AI 编程工具领域的一起典型安全信任危机。Grok Build CLI 声称“本地优先”,实则通过隐形通道全量窃取代码资产,这种过度收集行为远超模型推理所需的上下文范围。对于企业级开发而言,代码库包含核心商业逻辑和硬编码凭证,将其无条件上传至云端服务商意味着极高的供应链风险。此次事件并非简单的 Bug,而是产品设计层面对用户隐私边界的漠视。虽然 xAI 通过服务端开关紧急“灭火”,但无法消除开发者对 AI 智能体高权限访问的疑虑。这预示着行业必须重新审视 AI 工具的数据治理策略,企业市场未来将更倾向于支持具备严格数据隔离和“离线模式”的解决方案,以确保代码主权不被侵犯。

💡 核心观点:打着“改进模型”的幌子全量窃取代码,大模型厂商的隐私野心正在透支开发者的信任边界。

原文链接:Hacker News

C code80.ai · AI 编码 API 聚合 Claude / GPT 多模型统一接入,稳定不限速,按量计费,几行配置接入 Claude Code。 了解一下 ›

抢沙发

评论前必须登录!

立即登录   注册