SpaceXAI推出的编码辅助工具Grok Build引发严重隐私安全争议。安全研究人员通过技术分析发现,该工具的命令行界面在用户未充分知情的情况下,默认将整个Git仓库自动上传至Google Cloud Storage存储桶。上传数据不仅包含完整的Git历史记录和私有源代码,还可能涉及.env文件中的登录凭证、API密钥等敏感信息。测试显示,即使模型交互通道仅传输少量数据(如192KB),存储通道仍会上传高达5.1GiB的代码库数据,数据放大比例达27,800倍。研究人员证实,关闭“改进模型”选项无法阻止数据上传,服务端配置接口仍返回trace_upload_enabled: true,表明隐私开关仅控制客户端UI表现,不影响实际数据采集行为。此外,Grok Build的安装脚本和快速入门文档中未明确说明该上传机制,且本地可能产生大量磁盘缓存占用。事件曝光后,SpaceXAI悄然修改服务端配置暂停上传,但未发布安全公告或通知用户,也未确认已上传数据是否删除。
