SpaceXAI的Grok Build被曝隐私漏洞:未脱敏上传配置文件并强制同步完整代码仓库

SpaceXAI的Grok Build被曝隐私漏洞:未脱敏上传配置文件并强制同步完整代码仓库

近日,安全研究人员对SpaceXAI推出的Grok Build工具(CLI,版本 0.2.93)进行了抓包与底层数据流分析。分析结果显示,该工具在运行过程中存在严重的隐私和数据安全泄露风险。

在用户发起普通的模型对话时,Grok不仅会直接将包含API密钥、数据库密码等敏感信息的.env配置文件以明文且完全未脱敏的形式传输至SpaceXAI服务器,还会同步打包生成一份未经审计的会话状态存档,直接写入其后端的Google GCS云存储中。

更具争议的是,该工具被证实会在后台强制上传用户的整个本地代码仓库,且这一行为完全独立于AI智能体实际读取的文件范围。 在测试中,即便研究人员在提示词中明确要求"仅回复确定,不要读取任何文件",Grok依然会将整个工作区打包成Git bundle形式上传。

通过对抓取到的上传包进行恢复,研究人员成功完整提取了原本叮嘱其"不要打开"的测试文件及其全部历史提交记录。

在大规模代码库的极端测试下,该工具甚至在模型调用因额度超限而中断后,依然在后台成功上传了5.10GB的完整仓库数据快照。

研究人员进一步发现,SpaceXAI在Grok Build的官方安装指南及快速入门等文档中,从未对这种全量代码仓库上传和后台暂存机制进行任何提示或公开说明。

即使用户在Grok网页端设置中手动关闭了"改进模型"(Improve the model)的数据收集开关,后端的API响应依然会向客户端返回强制开启的代码追踪与上传trace_upload_enabled:true的信号,完全无法阻止本地代码被上传云端。

尽管这并不直接等同于SpaceXAI会使用这些私有代码进行模型训练,但未告知的全量数据外泄已对企业和开发者的核心资产安全构成了严重威胁。

相关推荐
Arman37684 小时前
rusty-cat 分片并发上传完全指南
rust·vibecoding
Lazy_zheng5 小时前
TDD 实战:Claude Code Superpowers 保姆级教程14 个 Skills 全解析 + 实战开发
前端·claude·vibecoding
object not found21 小时前
从 PRD 到可运行应用:我用 GPT、Stitch、Figma 和 Codex 跑通了一套 AI 协同开发流程
ai编程·vibecoding
win4r2 天前
🚀深度实测生产力核弹GPT-5.6 Sol编程能力有多离谱?真能取代Claude Fable 5?在Codex中表现亮眼超乎预期!开发效率倍程序员必备大模型!
gpt·ai编程·vibecoding
Captaincc4 天前
OpenAI可能跳过5.x直接推GPT-6
vibecoding
陪我去看海4 天前
受够了 AI 写完代码留下一堆端口?我做了一个端口管理App!
前端·macos·vibecoding
AI语宙漫游指南5 天前
深度解析Vibe Coding:AI氛围编程的红利、弊端与行业反噬
ai编程·vibecoding
Captaincc5 天前
选择无聊的技术
vibecoding
大鹅同志5 天前
Agent Runtime Evaluation Platform — AI Agent 运行时全维度质量评估平台
ai·langchain·agent·rag·langgraph·vibecoding·llm-as-judge