圈小蛙

Grok Build编码工具被曝打包上传完整代码库与历史密钥,马斯克紧急承诺销毁

使用 AI 助手自动编写和生成代码,正在成为现代软件工程的标配。然而,当这些工具开始在后台静默收集并上传用户的核心资产时,便利性就变成了安全噩梦。2026年7月13日(周一),独立逆向工程专家 Cereblab 披露了一项针对 SpaceXAI 旗下智能编程框架 Grok Build 的安全审计报告,指出该工具正以极其激进的策略将用户的全部本地代码库上传至云端服务器。

这一发现在技术论坛上引爆了开发者对代码资产安全的担忧,在后台运行期间,Grok Build 命令行界面(CLI)会自动将整个工作目录压缩,并直接上传至由谷歌云(Google Cloud)托管的存储桶中。

被忽略文件与已删除密钥难逃“一锅端”

安全研究员在深入解剖该工具的底层网络流量和执行链条后发现,Grok Build 在数据提取策略上极其简单粗暴。

不同于市场上同类竞品(如 Anthropic 旗下的 Claude Code 等仅按需读取部分上下文的克制机制),Grok Build 的本地程序会将整个项目文件夹打包。在这个过程中,即使开发者在 .gitignore 等配置文件中明确标明了“禁止读取”的敏感目录(如本地数据库、依赖库或配置文件),该工具也完全视而不见。更糟糕的是,那些曾经存在于 Git 历史提交记录中、后来由于安全合规要求已被物理删除或覆写过的 API 密钥、数据库连接密码以及安全证书等,也会随着完整的代码树备份被一并提取并上传。对于拥有大量商业机密和严格数据出境要求的企业而言,这几乎等同于将公司最核心的知识产权直接向外公开。

马斯克紧急出面安抚,宣布关停数据上传通道

随着舆论的持续发酵,马斯克及其团队不得不采取紧急公关和技术下线措施。

在当天晚些时候,SpaceXAI官方账号在X平台发布紧急通知,确认已经正式关闭了引发争议的代码自动上传逻辑。为了阻止潜在的法律指控和企业用户的退订潮,埃隆·马斯克本人也在社交平台上发表多条推文进行解释。在其中一条回复中,马斯克承诺Grok Build此前上传的所有历史数据将被完全销毁,确保不会有任何敏感代码库遗留在云端服务器上。

虽然马斯克在另一篇帖子中极力辩称SpaceXAI在处理用户隐私设置时始终保持着绝对的尊重,但他同时也劝说开发者在未来的更新中能够“主动授权”公司保留部分数据。马斯克声称,这部分代码片段将被安全地用于“系统调试和优化 AI 的代码纠错能力”。但在信任已经出现裂痕的当下,许多开发者和企业团队已经将该工具从本地开发环境中彻底卸载。这次事件再次表明,大模型时代下的本地开发安全,依然需要更加透明和严苛的第三方合规审查。


本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️

Exit mobile version