马斯克承认Grok Build泄露用户代码,承诺清除所有数据
马斯克承认Grok Build泄露用户代码,承诺清除所有数据
埃隆·马斯克已亲自承认其公司xAI开发的AI编程助手Grok Build存在严重的隐私泄露问题。马斯克罕见地承认了这一事件,并承诺彻底删除所有已上传至SpaceXAI服务器的用户数据,不留“一个字节”。这是大型AI公司首次公开承认此类违规行为并承诺删除用户数据。
发现过程:一名安全研究员的诱捕行动
争议始于独立AI安全研究员@cereblab决定测试Grok Build的隐私声明。该工具的网站明确宣称其“本地优先,代码保留在你的电脑上”。但研究员对此表示怀疑。他创建了一个测试仓库,其中包含虚假的API密钥和数据库密码作为唯一标记,然后监控Grok Build发送的所有数据包。
他指示Grok Build不做任何操作,仅回复“OK”。AI照做了,但随后秘密打包并上传了仓库中的所有文件以及完整的修改历史记录,至一个Google Cloud存储桶。一个12GB的测试仓库传输了5.1GB的数据,分为73个数据包。对话本身仅使用了192KB流量——这意味着泄露的数据量是实际工作量的27,800倍。另一名研究员发现日志记录了339次自动上传,其中一次包含了计算机的整个主目录。
后果:信任危机
该报告迅速登上Hacker News头条,并在Reddit上引发愤怒。开发者们急忙更换密钥,其他人则立即卸载了该工具。企业用户受影响最大——许多团队的私有仓库和生产环境密钥已被不知不觉地上传至未知服务器,且无法确定丢失了什么。xAI最初试图悄悄停止上传行为,而未更新更新日志。但沉默无法持续,Grok官方承认了问题,并发布了一条命令,可一键禁用数据保留。
马斯克的回应:承诺完全删除
埃隆·马斯克直接回应,以“True”开头,承认了泄露。他承诺所有先前上传的用户数据将在48小时内被完全、彻底地删除。然而,信任的损害可能是持久的。该事件引发了关于AI公司隐私实践以及营销承诺与实际行为之间差距的严重质疑。
关键点
- Grok Build秘密将用户代码上传至云服务器,违背了其“本地优先”的承诺。
- 一名安全研究员通过使用虚假凭证的测试仓库揭露了泄露。
- 泄露的数据量是实际对话流量的27,800倍。
- 埃隆·马斯克承认了违规行为,并承诺在48小时内删除所有历史数据。
- 该事件在AI行业引发了重大信任危机,尤其是在企业用户中。