文章总结: 该事件揭示了AI编程助手GrokBuild存在严重数据过度上传行为,处理单个文件时会将整个Git仓库(含历史记录和分支)上传至xAI云端,上传量是实际需求的约27800倍,且通过独立通道传输,可能泄露商业机密和API密钥,用户需警惕此类数据安全风险。 综合评分: 84 文章分类: 数据泄露,AI安全,安全大事件
【安全圈】AI编程助手偷偷把你的代码传走了,12GB仓库只”需要”192KB
安全圈
2026年7月14日 19:00 江苏
在小说阅读器读本章
去阅读
关键词
AI
你用AI编程助手写代码的时候,有没有想过一个问题:它到底把你的代码传到了哪里?
xAI推出的AI编程工具Grok Build,被发现存在一个惊人行为:当你让它处理一个代码文件时,它不仅读取了你需要的文件,还把整个Git仓库——包括全部提交历史、所有分支、所有文件——全部上传到了xAI的云端存储桶。
研究人员抓包发现:
- AI模型实际需要的数据:约192KB
- 实际上传到云端的数据:约5.10GB
- 差距:约27,800倍
更令人不安的是,这个上传走的是一条独立通道,和AI模型本身的通信完全分开。研究人员明确告诉AI不要打开某个文件,但这个文件还是被上传了。
存储桶的名字叫 grok-code-session-traces(”会话追踪”),这说明这可能不是bug,而是设计如此。
如果你的代码库里有商业机密、API密钥、提交历史……它们可能已经在别人手上了。
END
阅读推荐
【安全圈】SpaceX 官方账号被黑!黑客发币圈诈骗,马斯克的”门面”都守不住?
【安全圈】CVSS 满分!Joomla 两大插件被零日攻击,6月起已沦陷数千网站
【安全圈】学术论文变成武器:黑客伪造真实研讨会资料,向研究人员投放 RokRAT
【安全圈】勒索软件谈判顾问勾结黑客反向收割客户,被判近六年监禁
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】AI编程助手偷偷把你的代码传走了,12GB仓库只”需要”192KB》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论