背景儲存通道先至係最令人震驚嘅發現。唔理個 agent 實際打開咗邊啲檔案,個 CLI 都會將整個 Git 儲存庫——包括完整 commit 歷史——打包,然後經 POST /v1/save-sessiongrok-code-session-trace 嘅 Google Cloud Storage 儲存桶 。就算研究員指示個工具「求其講 OK,唔好讀任何檔案」,佢仍然照樣上傳成個儲存庫
。
另一位安全研究員 Hari 透過逆向工程獨立確認咗呢個發現,佢發文話 Grok Build 會未經明確許可上傳用戶嘅完整目錄 。喺一個測試入面,用咗一個 11.2 GiB 嘅儲存庫,最少有 5.1 GiB 嘅數據透過儲存通道傳走,但實際編程任務只需要大約 192 KB
。上傳嘅數據包含完整 Git 歷史、
.env 機密,同所有儲存庫檔案——唔係編程任務所需要嘅嗰啲 。
xAI 發出公開聲明,話佢哋非常重視用戶私隱,並指出使用 Zero Data Retention (ZDR) 嘅企業客戶,佢哋嘅程式碼同訓練數據從來冇被用過 。公司仲喺伺服器端做咗改動,停用咗
/v1/save-session 端點,從而阻止咗背景儲存庫上傳 。上傳喺 2026 年 7 月 13 日已經停止
。
雖然 xAI 嘅回應阻止咗活躍嘅數據外傳,但以下幾個問題仍然未解決。
1. 個 fix 係伺服器端,唔係用戶端。 研究員指出,Grok Build CLI 用戶端程式(版本 0.2.93)本身從未被更新——xAI 只係喺佢哋嘅伺服器度熄咗個接收端點 。即係話,用戶端程式仍然有能力上傳整個儲存庫;如果個端點重新啟用,呢個行為可以再次發生。
2. xAI 嘅私隱 opt-out 冇阻止到上傳。 研究員測試過「私隱模式」或數據保留 opt-out 嘅指令,發現佢冇阻止到整個儲存庫嘅背景上傳 。研究員明確咁話:「xAI 嘅私隱指令唔係解決問題嘅方法」
。相反,係一個隱藏嘅伺服器端標記叫
disable_codebase_upload 被設定為 true 。
5. 已經洩漏嘅數據冇得叫停。 任何喺 fix 之前傳送嘅敏感憑證、專有程式碼或機密,已經儲存咗喺 xAI 嘅雲端基建 。研究員捕捉到上傳記錄,仲可以 clone 個 Git bundle,復原 agent 被明確指示唔好讀取嘅檔案
。
| 層面 | 詳情 |
|---|---|
| 受影響工具 | Grok Build CLI 版本 0.2.93 |
| 發現日期 | 2026年7月12日 |
| 上傳咗啲乜 | 整個 Git 儲存庫、完整 commit 歷史、未經遮罩嘅 .env 機密 |
| 儲存目的地 | Google Cloud Storage 儲存桶 (grok-code-session-trace) |
| 研究員 | cereblab(獨立);Hari 獨立確認 |
| Musk 回應 | 公開確認;承諾刪除所有之前上傳嘅數據 |
| 已做嘅 fix | 伺服器端停用 /v1/save-session 端點;隱藏標記 disable_codebase_upload |
| 用戶端有冇更新? | 冇 |
| 私隱 opt-out 有效? | 冇——就算用戶選擇退出,上傳仍然繼續 |
| 數據刪除有冇驗證? | 截至報導發表冇獨立驗證 |
Grok Build 呢單嘢突出咗開發者使用 AI 編程助手嘅一個日益增長嘅風險。好多呢類工具會將程式碼傳去雲端伺服器處理,但具體傳送同儲存嘅範圍往往唔係好透明。喺呢個案例入面,個工具傳送咗遠超所需嘅數據——仲要喺用戶明確嘗試阻止嘅情況下照做。
喺 xAI 推出用戶端更新同提供獨立嘅數據刪除驗證之前,用過 Grok Build 嘅開發者應該假設,任何喺佢哋儲存庫入面嘅憑證、專有程式碼或敏感資訊,可能已經被傳送到 xAI 嘅雲端基建。