时间:2026年7月12-13日
地点:xAI
人物:xAI(埃隆·马斯克旗下AI公司)
事件详情:安全研究者通过网络流量分析发现,xAI官方推出的编程命令行工具Grok Build CLI在默认配置下,会在用户不知情的情况下将完整代码仓库、.env密钥文件甚至git历史原样上传至xAI的云端存储GCS存储桶。测试显示,即使明确告知工具不要读取任何文件,它依然会打包上传整个仓库。关闭训练开关也无法阻止这一行为。
背景:Grok Build是xAI于2026年5月推出的终端AI编码代理,定位为Claude Code和Codex的竞争对手。此次安全事件暴露了AI编码工具在数据隐私和上传通道设计上的重大缺陷。
影响:
- 所有使用Grok Build的开发者需重新审查自己的密钥和敏感文件
- 上传行为与模型是否读取彻底脱钩的架构设计引发行业反思
- 可能影响开发者对AI编程工具的数据信任
- 凸显AI编码代理工具在隐私保护方面仍需重大改进
总结:Grok CLI的全量代码上传事件是AI编程工具领域迄今最严重的安全隐私问题之一。与传统的代码上传不同,此事件暴露出即使在用户明确拒绝的情况下,工具仍在后台强制上传数据的架构设计问题,所有AI编程工具的开发者都应引以为戒。
参考来源:
- https://mp.weixin.qq.com/s/6c6vGMJAVMbh6UhNVw4dcg
- https://www.ithome.com/0/975/865.htm









