SpaceXAI的Grok编程工具将用户的整个代码库上传到云存储
据报道,SpaceXAI的Grok Build AI编码工具会将用户的完整代码库上传至谷歌云,包括被指示不打开的文件和已删除的密钥。该功能在被报告后已被禁用。SpaceXAI承诺删除已上传数据,但安全研究员指出数据保留过度,可能导致专有源代码和安全漏洞等敏感信息泄露。
根据最新报道,SpaceXAI旗下的人工智能编码工具Grok Build被发现存在严重的数据隐私问题。安全研究公司Cereblab在周一发布的报告中指出,该工具的命令行界面(CLI)会自动将用户的整个代码库打包并上传至谷歌云存储。更令人担忧的是,这一过程中包含了用户明确指示不要访问的文件,以及已经从历史记录中删除的密钥信息。这种数据保留规模远超同类工具,例如Claude Code。Cereblab的研究人员表示,截至周一,他们的测试显示SpaceXAI的服务器返回了一个“disable_codebase_upload: true”的标识,意味着该上传功能已不再触发。SpaceXAI的创始人埃隆·马斯克在X平台上回应称,此前上传的所有数据将被“完全且彻底地删除”。不过,马斯克在另一条帖子中表示“隐私设置总是得到尊重”,同时鼓励用户允许SpaceXAI保留数据,称这对“调试问题有帮助”。伦敦国王学院的独立安全研究员Lukasz Olejnik博士向The Verge确认,这种数据保留量是“过度的”,可能面临风险的数据包括“专有源代码、安全漏洞信息、个人数据、基础设施细节和凭证”。SpaceXAI最初回应称,如果用户禁用零数据保留,可以在CLI中使用“/privacy”命令来关闭数据保留并删除已同步数据。但Cereblab指出,“/privacy”仅是一个会话级的保留开关,并非修复该问题的直接控制机制。