【安全圈】AI编程助手偷偷把你的代码传走了,12GB仓库只”需要”192KB

admin 2026-07-15 05:02:49 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该事件揭示了AI编程助手GrokBuild存在严重数据过度上传行为,处理单个文件时会将整个Git仓库(含历史记录和分支)上传至xAI云端,上传量是实际需求的约27800倍,且通过独立通道传输,可能泄露商业机密和API密钥,用户需警惕此类数据安全风险。 综合评分: 84 文章分类: 数据泄露,AI安全,安全大事件


cover_image

【安全圈】AI编程助手偷偷把你的代码传走了,12GB仓库只”需要”192KB

安全圈

2026年7月14日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

AI

你用AI编程助手写代码的时候,有没有想过一个问题:它到底把你的代码传到了哪里?

xAI推出的AI编程工具Grok Build,被发现存在一个惊人行为:当你让它处理一个代码文件时,它不仅读取了你需要的文件,还把整个Git仓库——包括全部提交历史、所有分支、所有文件——全部上传到了xAI的云端存储桶。

研究人员抓包发现:

  • AI模型实际需要的数据:约192KB
  • 实际上传到云端的数据:约5.10GB
  • 差距:约27,800倍

更令人不安的是,这个上传走的是一条独立通道,和AI模型本身的通信完全分开。研究人员明确告诉AI不要打开某个文件,但这个文件还是被上传了。

存储桶的名字叫 grok-code-session-traces(”会话追踪”),这说明这可能不是bug,而是设计如此。

如果你的代码库里有商业机密、API密钥、提交历史……它们可能已经在别人手上了。

END

阅读推荐

【安全圈】SpaceX 官方账号被黑!黑客发币圈诈骗,马斯克的”门面”都守不住?

【安全圈】CVSS 满分!Joomla 两大插件被零日攻击,6月起已沦陷数千网站

【安全圈】学术论文变成武器:黑客伪造真实研讨会资料,向研究人员投放 RokRAT

【安全圈】勒索软件谈判顾问勾结黑客反向收割客户,被判近六年监禁

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】AI编程助手偷偷把你的代码传走了,12GB仓库只”需要”192KB》

评论:0   参与:  0