Grok被曝偷取用户代码库:隐私安全再敲警钟
近日,xAI公司开发的Grok CLI工具因涉嫌未经授权收集用户代码库而引发广泛关注。根据科技媒体"数字生命卡兹克"的报道,这款由埃隆·马斯克旗下xAI推出的代码生成工具,在运行过程中会自动将用户的整...
近日,xAI公司开发的Grok CLI工具因涉嫌未经授权收集用户代码库而引发广泛关注。根据科技媒体"数字生命卡兹克"的报道,这款由埃隆·马斯克旗下xAI推出的代码生成工具,在运行过程中会自动将用户的整个项目仓库打包并上传至xAI控制的Google Cloud存储空间,且这一行为完全在用户不知情的情况下进行。
该事件的核心在于Grok CLI的异常行为:当用户仅要求模型回复一个单词时,Grok仍然会触发完整的代码库上传流程。更令人担忧的是,除了当前项目的代码,Grok还会收集用户电脑上的其他相关配置文件,包括Claude Code的设置文件以及敏感的API密钥。这种跨仓库、跨文件的全面收集行为,使得用户的隐私信息面临严重泄露风险。
科技博客Cereblab也在推文中指出,与Claude Code、Codex和Gemini等竞争对手不同,Grok Build CLI会将用户的完整代码库及Git历史记录直接上传至xAI的云端服务器,即使用户明确设置了"永不读取"的标志也无法阻止。这一发现进一步证实了Grok在数据收集方面的激进策略。
针对此次事件,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)已发布警告,提醒用户注意AI编程工具可能存在的后门隐患。专家建议,相关单位和用户应立即开展全面排查,并升级至最新版本以清除潜在风险。
目前,xAI尚未对此事作出正式回应。然而,这一事件再次凸显了AI工具在快速发展的同时,必须重视数据隐私保护和透明度的问题。随着AI技术的普及,如何在提升效率与保障安全之间找到平衡,已成为行业亟待解决的重要课题。