SpaceXAI的Grok編程工具將用户的整個代碼庫上傳到雲存儲
據報道,SpaceXAI的Grok Build AI編碼工具會將用户的完整代碼庫上傳至谷歌雲,包括被指示不打開的文件和已刪除的密鑰。該功能在被報告後已被禁用。SpaceXAI承諾刪除已上傳數據,但安全研究員指出數據保留過度,可能導致專有源代碼和安全漏洞等敏感信息泄露。
根據最新報道,SpaceXAI旗下的人工智能編碼工具Grok Build被發現存在嚴重的數據隱私問題。安全研究公司Cereblab在週一發佈的報告中指出,該工具的命令行界面(CLI)會自動將用户的整個代碼庫打包並上傳至谷歌雲存儲。更令人擔憂的是,這一過程中包含了用户明確指示不要訪問的文件,以及已經從歷史記錄中刪除的密鑰信息。這種數據保留規模遠超同類工具,例如Claude Code。Cereblab的研究人員表示,截至週一,他們的測試顯示SpaceXAI的服務器返回了一個“disable_codebase_upload: true”的標識,意味着該上傳功能已不再觸發。SpaceXAI的創始人埃隆·馬斯克在X平台上回應稱,此前上傳的所有數據將被“完全且徹底地刪除”。不過,馬斯克在另一條帖子中表示“隱私設置總是得到尊重”,同時鼓勵用户允許SpaceXAI保留數據,稱這對“調試問題有幫助”。倫敦國王學院的獨立安全研究員Lukasz Olejnik博士向The Verge確認,這種數據保留量是“過度的”,可能面臨風險的數據包括“專有源代碼、安全漏洞信息、個人數據、基礎設施細節和憑證”。SpaceXAI最初回應稱,如果用户禁用零數據保留,可以在CLI中使用“/privacy”命令來關閉數據保留並刪除已同步數據。但Cereblab指出,“/privacy”僅是一個會話級的保留開關,並非修復該問題的直接控制機制。