SpaceXAI 的 Grok 编程工具被曝上传用户完整代码库至云端,马斯克称将彻底删除
SpaceXAI 旗下的 AI 编程工具 Grok Build 近日被曝存在严重隐私问题:它会在用户不知情的情况下,将整个代码库打包上传至 Google Cloud,甚至包括用户明确要求忽略的文件和已从历史记录中删除的密钥。安全研究机构 Cereblab 在周一发布的研究报告中详细描述了这一行为,称 Grok Build CLI 的数据上传量远超同类工具(如 Claude Code),属于“过度”数据保留。
报告指出,该工具的上传行为不仅涉及当前工作目录,还会扫描并上传整个仓库,包括 .gitignore 中指定的文件和已删除的敏感信息。测试显示,截至周一,SpaceXAI 的服务器已返回 disable_codebase_upload: true 标志,意味着该功能已被关闭。
Elon Musk 的回应
Elon Musk 在 X 平台发文回应,称所有此前上传的数据将被“完全彻底地删除”。他在另一条帖子中强调“隐私设置始终被尊重”,但同时请求用户允许 SpaceXAI 保留数据,称这对“调试问题有帮助”。这种矛盾的表态引发了社区更多质疑。
安全专家警告
伦敦国王学院独立安全研究员 Dr. Lukasz Olejnik 向 The Verge 确认,如此大规模的数据保留是“过度的”,潜在风险包括:专有源代码、安全漏洞信息、个人数据、基础设施细节以及凭证泄露。他警告说,这类数据一旦泄露,可能导致企业知识产权被盗或遭受针对性攻击。
SpaceXAI 的初始回应与争议
SpaceXAI 最初回应称,用户可通过 /privacy 命令在 CLI 中禁用数据保留并删除已同步数据。但 Cereblab 指出,/privacy 是“每会话保留切换开关”,并非修复此问题的根本措施,因此不应被当作控制选项。这种解释被批评为“转移焦点”。
行业影响与反思
这一事件再次引发了关于 AI 编程工具隐私边界的讨论。随着 AI 辅助编码工具日益普及,用户往往默认信任云端处理,但 Grok Build 的案例表明,工具可能过度收集数据,甚至超出用户预期。对于企业用户而言,代码库是核心资产,此类隐私漏洞可能导致灾难性后果。
目前 SpaceXAI 已关闭上传功能,但用户仍需警惕:在类似工具修复验证之前,避免在敏感项目中使用,或配合本地沙箱隔离。未来,AI 编程工具的隐私透明度和数据最小化原则将成为竞争关键。