AI编程工具Grok Build最近摊上大事了——一篇外媒报道把它的隐私问题摆到了台面上:在没有明确授权的情况下,工具悄悄上传了用户的代码仓库数据,全球开发者的反应可想而知,几乎是炸了锅。事情闹大后,埃隆·马斯克亲自站出来灭火,承诺会彻底删除所有历史用户数据。
这事儿是怎么被捅出来的?一位安全研究员搞了个“钓鱼”测试。他建了一个伪装仓库,埋进独特标记,全程监控数据流向。结果相当惊人:即便用户手动关闭了“帮助改进模型”选项,Grok Build依然不声不响地把整个仓库连同修改历史打包上传到了第三方存储桶。数据传输量高达好几个G,连包含密钥、配置文件的敏感目录都没放过。

开发者社区瞬间陷入恐慌。代码库是什么?那是开发者的核心资产,泄了密不仅意味着商业机密不保,更可能直接威胁生产环境的安全。不少用户连夜更换所有访问密钥,甚至直接卸载了相关工具以求自保。
面对指控,xAI团队动作倒是不慢:先停了非法上传行为,然后火速推出新功能,允许用户一键关闭数据留存并追溯删除已上传数据。马斯克的回应更是干脆利落,直说“一个字节都不会留下”,明确表示会彻底清除此前收集的所有数据。
从开发者质疑到官方清零,整个危机在48小时内平息。数据虽然承诺删了,但这事儿给Agentic Coding(袋里式编程)赛道敲了一记警钟。当AI助手掌握了电脑的最高权限,如何在提供生产力的同时守住隐私底线——这已经是所有开发者工具厂商绕不开的课题了。
