Grok Build 被曝偷传整个代码仓库, 你的AI编程助手还可信吗?
安全研究员 @cereblab 干了一件很"轴"的事:他建了一个装满假密钥的测试仓库,然后让 Grok Build "什么都不要做,回答 OK 就行,不许打开任何文件"。
Grok Build 乖乖回了一句 OK。
监控画面里,却是另一番景象——它转身把整个仓库打包上传了,包括完整的 Git 历史、所有文件、以及那些假密钥。一个 12GB 的仓库,传出去了 5.1GB,拆成 73 个包,一个不落。而同一时间对话本身用掉的流量只有 192KB。偷运的数据,是正经干活的 27,800 倍。


这就是过去几天开发者圈子里反复讨论的 Grok Build 代码上传事件。
Grok Build 是 xAI 今年 5 月推出的终端 AI 编程代理,宣传页写着"local-first"——本地优先,你的代码留在你自己电脑上。但 Cereblab 用 mitmproxy 抓包发现,Grok Build 通过独立的 /v1/storage 通道,把整个 Git 仓库以 bundle 形式上传到了 xAI 的 Google Cloud Storage 存储桶。官方提供的"帮助改进模型"开关也完全没用,关了照传不误。
那个开关管的是"要不要拿你的数据训练 AI",压根不管你的代码有没有离开电脑。
更让人头皮发麻的是另一位研究者的发现:日志里记着 339 次自动上传,其中一次上传的是他整个电脑的主目录。那里面有 SSH 密钥、密码管理器、浏览器数据。
报告发出后,xAI 悄悄在服务器端掐断了上传行为,更新日志里只字未提。熬了两天扛不住了,官方出面认账,上线 /privacy 命令。最后马斯克亲自下场,开口第一个词是 "True",承认事情是真的。然后承诺:所有此前上传的用户数据,完全且彻底删除,一个字节不留。
不到 48 小时,从社区质疑到一把手出面承诺。
数据可以清零,信任呢?Agentic coding 工具握着电脑最高权限:读文件、改代码、跑命令。你把家门钥匙交给它,是让它帮你干活,不是让它把整个家打包带走。今天是 Grok Build,明天呢?
