SpaceXAI编码工具数据上传漏洞曝光:大量机密或泄露,马斯克承诺删数据
据报道,SpaceXAI的Grok Build AI编码工具在被曝光前,存在严重的数据上传问题。该工具会将用户的整个代码库上传至谷歌云,其中“包括被要求不得打开的文件以及历史记录中已删除的机密信息”,数据留存程度远超Claude Code等同类工具。
研究人员测试显示,截至周一,SpaceXAI的服务器返回了“disable_codebase_upload: true”标志,代码库上传功能“已不再触发”。埃隆·马斯克在X平台发文称,Grok Build此前上传的所有数据都将“彻底删除”。不过,他又请求用户允许保留数据以“有助于调试问题”。
伦敦国王学院的独立安全研究员卢卡斯·奥莱尼克博士证实,如此大量的数据留存“过度了”。可能面临风险的数据包括“专有源代码、安全漏洞信息、个人数据、基础设施细节以及凭证”。
SpaceXAI最初称可在命令行界面使用 /privacy 命令来禁用数据留存,还能删除此前同步的数据。但 Cereblab 指出,“/privacy 只是一个针对每次会话的数据留存开关,并非解决此问题的关键设置,因此不应将其视为解决方案”。
编辑观点:SpaceXAI此次数据上传漏洞暴露了其在安全管理上的严重不足,对用户数据安全构成威胁。科技企业应重视数据隐私,不能以调试之名过度留存数据。
