马斯克亲自下场认账了。在Grok Build被曝偷传用户代码的48小时后,这位SpaceXAI掌门人公开承认事实,并承诺将此前上传的用户数据全部删除,不留一个字节。让一家AI巨头当众认错并主动清空数据,这在AI圈还是头一回。而把马斯克逼到这一步的,是一个较真的安全研究员,以及一场差点毁掉整个AI编程赛道信任根基的危机。事情源于独立安全研究员@cereblab的一个钓鱼测试。他注册小号,建了一个包含假API密钥和假数据库密码的仓库,然后监控Grok Build的数据包。结果令人震惊:Grok Build在只被要求回答OK的情况下,竟将整个仓库连同修改历史打包上传至Google Cloud存储桶,而非xAI自家服务器。更关键的是,Grok Build中那个「帮助改进模型」的开关形同虚设——即使关掉,代码照传不误。传输量对比触目惊心:一个12GB的测试仓库实际传出5.1GB,拆成73个包裹,而AI对话本身仅消耗192KB流量,偷运数据量是正常工作的27800倍。另一研究者复现时发现,日志中记录339次自动上传,其中一次甚至上传了整个电脑主目录,可能包含SSH密钥、密码管理器数据等数字资产。报告发布后迅速登上Hacker News头版,Reddit炸锅。开发者们连夜更换密钥,企业用户陷入恐慌——私有仓库和生产环境密钥可能在完全不知情的情况下泄露。xAI最初选择沉默,悄悄在服务器端掐断上传行为,但更新日志只字不提。沉默终究扛不住压力,Grok官方出面认账,上线/privacy命令允许用户一键关闭数据留存并追溯删除已上传数据,刚被挖来的端到端加密产品高管Andrew Milich亲自站台。最终马斯克拍板:过去所有用户数据全部删除,零残留。数据可以清零,但开发者的担忧无法清零。Agentic coding工具握有用户电脑的最高权限,能读文件、改代码、跑命令,用户把家门钥匙交给它,是让它干活,不是让它把整个家打包带走。今天是Grok Build,明天可能是其他AI编程工具。这场信任危机给整个行业敲响警钟:在追求AI能力的同时,隐私保护和数据透明度必须跟上,否则再强的模型也换不回用户的信任。对开发者而言,在选择AI编程工具时,除了关注性能,更应仔细审视其数据策略,必要时用隔离环境运行敏感代码。
马斯克认账清零数据,Grok Build信任危机48小时
AITNT
1天前
1
4