背景儲存路徑 則是更令人震驚的發現。無論 AI 代理實際上開啟了哪些檔案,CLI 工具都會將整個 Git 倉庫——包括完整的提交歷史——打包成一個 Git bundle,並透過 POST /v1/save-sessiongrok-code-session-trace 的 Google Cloud Storage 儲存桶 。即使研究員指示該工具「只要說 OK,不要讀取任何檔案」,它依然會上傳完整的倉庫 bundle
。
安全研究員 Hari 也透過逆向工程獨立確認了此發現,並指出 Grok Build 會在未經明確許可的情況下上傳整個使用者目錄 。在一個使用 11.2 GiB 大小倉庫的測試中,至少有 5.1 GiB 的資料透過儲存路徑被傳輸出去,而實際編碼任務所需的資料僅約 192 KB
。這些上傳內容包含了完整的 Git 歷史、
.env 檔案中的機密,以及倉庫中的所有檔案——遠超過編碼任務所需的子集 。
Elon Musk 在 X 上公開確認了這個問題,他的回應以「True」開頭 。接著他承諾:「作為預防措施,所有先前上傳至 SpaceXAI 的用戶資料都將被完全且徹底地刪除。任何東西都不會留下」
。
xAI 發布了一份公開聲明,表示公司非常重視用戶隱私,並指出使用 Zero Data Retention (ZDR) 功能的企業客戶,其程式碼或訓練資料從未被使用 。該公司也實施了一項伺服器端變更,停用了
/v1/save-session 端點,從而阻止了背景的倉庫上傳行為 。截至 2026 年 7 月 13 日,這些上傳行為已經停止
。
儘管 xAI 的回應已阻止了主動的資料外洩,仍有幾個問題尚未解決。
1. 修復僅限伺服器端,而非客戶端。 研究員指出,Grok Build CLI 客戶端(版本 0.2.93)本身從未更新——xAI 只是關閉了其伺服器上的接收端點 。這意味著客戶端程式碼仍然具備上傳整個倉庫的能力;如果該端點被重新啟用,此行為就可能會恢復。
2. xAI 的隱私選擇退出功能並未阻止上傳。 研究員測試了「隱私模式」或資料保留選擇退出的指令,發現它並未阻止完整的倉庫背景上傳 。研究員明確表示:「xAI 的隱私指令並不是修復它的方法」
。真正的修復是伺服器端一個名為
disable_codebase_upload 的隱藏旗標被設為 true 。
5. 已經外洩的資料無法召回。 任何在修復前已傳輸的敏感憑證、專有程式碼或機密,都已經儲存在 xAI 的雲端基礎設施上 。研究員成功截獲了上傳內容,能夠複製該 Git bundle 並恢復 AI 代理被明確指示不要讀取的檔案
。
| 面向 | 細節 |
|---|---|
| 受影響工具 | Grok Build CLI 版本 0.2.93 |
| 發現日期 | 2026 年 7 月 12 日 |
| 上傳內容 | 整個 Git 倉庫、完整提交歷史、未經遮罩的 .env 機密 |
| 儲存目的地 | Google Cloud Storage 儲存桶 (grok-code-session-trace) |
| 研究員 | cereblab(獨立研究員);由 Hari 獨立確認 |
| 馬斯克的回應 | 公開確認;承諾刪除所有已上傳資料 |
| 已實施的修復 | 伺服器端停用 /v1/save-session 端點;隱藏旗標 disable_codebase_upload |
| 客戶端是否更新? | 否 |
| 隱私選擇退出是否有效? | 否——即使使用者選擇退出,上傳行為仍在繼續 |
| 資料刪除是否已獲驗證? | 截至報導發布,尚無獨立驗證 |
Grok Build 事件凸顯了開發者在使用 AI 驅動的編碼助手時日益增長的風險。許多此類工具會將程式碼發送到雲端伺服器進行處理,但傳輸和儲存的內容範圍往往不透明。在這個案例中,該工具傳輸了遠超過所需的資料——而且即使使用者明確嘗試阻止,它依然照做不誤。
在 xAI 發布客戶端更新並提供資料刪除的獨立驗證之前,曾使用過 Grok Build 的開發者應假設其倉庫中存在的任何憑證、專有程式碼或敏感資訊,都已經被傳輸至 xAI 的雲端基礎設施。