在一次实测中,安全研究者搭建了一个12 GB 的本地代码仓库。本轮任务里,模型交互的有效请求流量仅 192 KB,但 Grok 在后台静默上传了 5.10 GiB 的全量仓库打包文件。
比例是27800:1。辅助编程?这更像是数据搬家。
7 月 13 日,安全研究者对 xAI 官方 Grok CLI(npm 包@xai-official/grok0.2.93 版)做网络流量分析时发现:每轮任务前后,Grok 会把当前工作目录打包成before_codebase.tar.gz和after_codebase.tar.gz,通过一条独立的旁路通道,静默上传到xAI 的 Google Cloud 存储桶。上传包里包含.env密钥、.git完整历史、仓库外的~/.claude.json,以及30 多个 Skill 文件。
安全研究者实测验证,即便在系统提示词中明确限定"禁止读取任何本地文件",全量打包上传的逻辑仍会触发。上传行为完全独立于模型任务,是写死在 CLI 底层的强制流程。
xAI 的反应很快。7 月 13 日凌晨,他们通过服务端远程开关关闭了默认上传行为。但没有公告,没有邮件通知已安装用户,没有解释为什么会存在这个设计。
法律层面这很难定义为"窃取",更准确的说法是"未充分告知的默认全量数据采集",是用户协议与产品设计之间的灰色地带。但灰色不代表合理。当产品行为突破了用户的默认预期,信任崩塌只需要一次抓包。
27800:1,写得太完整了
情绪宣泄容易,结构性追问难。
全网都在骂马斯克"表里不一"。天天在 X 上骂其他 AI 公司不值得信任,结果自己的工具做了最不值得信任的事。骂得再狠,也只停留在道德层面。
Grok CLI 的问题,根子出在架构设计。0.2.93 版本把上传逻辑写进了默认流程,一个旁路通道、两套打包文件、全程无提示。这几样东西同时出现,很难用"某个工程师手滑写错了一行代码"来解释。
对比一下就知道差距在哪。Claude Code 个人版、GitHub Copilot 免费版默认采用"增量采集"逻辑,只上传与 AI 交互过的代码片段、修改记录和纠错反馈,且用户可在设置中手动关闭"允许用于模型改进"的权限;企业版则支持数据不出域、不参与训练。这是留了缓冲带。
xAI 不一样。全量打包、旁路上传、全程无提示、没有开关。缓冲带?直接拆了。
其他厂商是"悄悄拿",xAI 是连门都懒得多走一步,直接把整面墙搬走。区别不在道德高下,在合规颗粒度和技术成熟度。
你以为是你在调用AI,其实是 AI 在调用你的工作流。
人设与产品的裂缝,比代码更刺眼
这里有个更值得玩味的细节。
马斯克在科技圈的公开姿态是什么?他是那个宣称"AI 权力过度集中很危险"的人。起诉 OpenAI、反对微软垄断、鼓吹开源和透明。结果 xAI 的官方工具,在用户完全不知情的情况下,把他们的代码仓库、密钥、git 历史全部打包上传。修复方式是远程静默关闭,不发公告,不通知用户,不解释为什么。
一个声称要对抗AI 权力集中的公司,用的恰恰是它所反对的那套架构逻辑:默认开启、用户无感知、数据单向透明、事后不解释。
这暴露了一个更深层的行业现实:当模型公司面临算力成本和训练数据的双重压力时,"用户控制权"是第一个被牺牲掉的变量。用代码训练代码生成能力,是成本最低、数据质量最高的路径之一。与其花钱买数据集,不如直接用真实开发者的仓库喂模型。马斯克不是不知道这样做有问题,他只是选择了先跑通商业模式。
但这不只是马斯克个人的言行裂缝,更是整个AI 行业的集体悖论。厂商都在对外讲"AI 赋能个体、赋能企业"的叙事,但所有头部厂商的底层商业模式,都建立在"用户数据反向喂养模型"的逻辑之上。人设喊得越响,只是因为它的商业逻辑越需要用价值观包装。xAI 只是做得更露骨,把全行业心照不宣的潜规则,直接写进了产品代码里。
这种激进的数据采集不是偶然。当通用互联网数据已经被大模型吃干榨尽,高质量的工业级代码、企业真实业务逻辑,就成了下一代模型迭代的核心燃料。谁拿到更多真实工程数据,谁就能在编码能力上拉开代差。
脱敏救不了你,模型看的是走路姿势
很多人会觉得:我把敏感字段删掉不就行了?把.env里的密钥清空,把客户数据脱敏,把硬编码的密码去掉。
这想法太天真了。
模型从你的代码里提取的,根本不是那几行明文密钥,而是架构思路、排错经验、业务逻辑、工程范式。一家SaaS 公司用 AI 写客户管理系统的核心代码,哪怕删掉了所有客户数据和密钥明文,代码里的并发处理逻辑、权限分级架构、异常兜底方案、数据库索引设计,都会被模型吸收。
同赛道的竞品用同款AI 工具时,相当于间接拿到了你花几百万踩出来的坑。模型免费把你的架构经验教给了对手,而你根本不知道这件事发生了。
脱敏遮住的是脸,模型看的是你的走路姿势。
这次事件之后,所有用AI 编程工具的企业都得重新算一笔账:你的代码资产,到底值多少钱?
建议把代码分成三级。
一级:非核心代码(可通用工具)。开源组件、通用脚本、前端页面、内部工具类代码,泄露不影响核心竞争力。
二级:核心业务代码(需私有化部署)。产品主架构、业务逻辑、自研算法、权限系统,必须使用私有化部署模型,数据不出企业内网。
三级:机密代码(禁止外部AI)。加密协议、风控模型、核心专利算法、未公开的底层架构,禁止接入任何外部 AI 工具,全程人工开发审计。
未来企业AI 编码能力的差距,看的不只是模型强弱,更看核心代码有没有流进通用模型的训练池。
xAI 这次翻车,不会杀死 AI 编程工具,但会杀死"默认上传"的商业模式。监管当然会跟进,但监管的速度永远慢于技术。真正推动改变的,是市场。当企业发现"免费试用"的真实代价是代码资产流失,他们会用脚投票。
一个反直觉的真相:很多人以为开源AI 工具更安全,但实际上,不少开源编码工具同样内置了隐蔽的数据上报逻辑。安全边界和开源闭源的标签无关,只取决于你的数据有没有离开本地。
这次事件之后,所有AI 编码工具的隐私政策将被迫重新被审视。监管没杀死这种模式,市场给它标了价。
你的代码教会了Grok 怎么写更好的代码,而 Grok 不会告诉你它学了什么。
免费工具最诚实的定义,大抵如此。
热门跟贴