Grok Build曝可上传代码库至谷歌云,SpaceXAI紧急禁用

先抛一个结论:当AI编程工具开始“默认上传整个代码库”时,你手里的代码可能已经不再属于你一个人。这件事发生在xAI的Grok Build上——据安全研究机构Cereblab周一发布的报告,该工具在CLI模式下会“悄无声息”地将用户整个代码库打包上传至Google Cloud,连那些明确标记为不可访问的文件、甚至已经从历史记录中删除的敏感信息都未能幸免。数据保留范围远超Claude Code等同类AI编程工具。

要知道,Claude Code虽然也会上传代码上下文,但通常只保留当前对话所需片段,且用户可以手动控制。而Grok Build这种“全量上传+长期留存”的做法,等于把企业的源码、密钥、基础设施配置、甚至个人隐私数据一股脑儿交给第三方云服务。这不仅是技术上的粗放,更是对用户信任的透支。

研究人员指出,截至周一测试时,xAI服务器已返回“disable_codebase_upload: true”标志,代码库上传行为不再触发,意味着相关功能已被禁用。但这个“亡羊补牢”的时机,恰恰发生在舆论发酵之后。

Grok, Musk, xAI

针对此事,马斯克在X平台表态:此前上传的数据将被“完全、彻底地删除”,并强调xAI“始终尊重隐私设置”。但话锋一转,他又说希望用户允许平台保留数据,以便帮助识别和调试问题——这种“既要又要”的态度,让安全圈的不少观察者皱起了眉头。

伦敦国王学院的独立安全研究员Lukasz Olejnik一针见血地指出:如此大规模的数据留存存在明显风险,涉及专有源代码、安全漏洞信息、个人数据、基础设施细节及访问凭证等敏感内容。一旦这些数据被泄露或被滥用,后果不亚于一次“数字核泄漏”。

客观来看,AI代码助手为了理解上下文,确实需要获取一定量的代码信息。但“全量上传”与“智能截取”之间,存在本质区别。Grok Build此次翻车,暴露的是xAI在产品设计初期对数据安全边界的漠视——在追求“快速迭代”和“极致体验”时,把用户数据当成了免费的训练燃料。而对比之下,GitHub Copilot、Amazon CodeWhisperer等工具早已在数据本地化、匿名化、用户控制权方面建立了更成熟的机制。这次事件或许会倒逼整个AI编程工具赛道重新审视数据保护基线——毕竟,没有人愿意让自己的代码在“不知情”的情况下成为他人云服务上的静默资产。

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,可联系本站进行审核删除。
(0)
AI快讯网编辑-青青AI快讯网编辑-青青
半年造2798亿芯片,日均15亿块,人均200块
上一篇 14小时前
长鑫科技估值5800亿,上市后查无老板
下一篇 12小时前

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注