#安全资讯 SpaceXAI 的人工智能编码工具 Grok Build 被曝默认上传完整的 Git 仓库,包含工具本身没有读取的代码或调用的上下文以及 Git 完整提交历史。测试还显示 12GB 的仓库数据被发送至少 5GB 的数据到谷歌云端,Grok Build 使用谷歌 GCP 来存储收集的这些数据。目前这种行为已经在开发者社区引起关注,继续使用 Grok Build 可能存在潜在的数据泄露风险。查看全文:https://ourl.co/113897
日前有研究人员对人工智能编程工具 Grok Build CLI 进行分析后发现,该工具有可能会在后台静默上传用户当前项目的完整 Git 仓库,其中不仅包含当前版本代码,连工具并未读取的代码以及 Git 提交历史等也同样会被上传到云端服务器,这种行为引发开发者的普遍担忧。
研究显示这种上传行为与智能体实际读取哪些文件并不完全相关,即使用户明确要求 Grok Build 不读取任何文件,后台仍然可能会生成 Git bundle 并上传整个仓库代码。研究人员表示,如果相关测试结果准确,这意味着 Grok Build 默认上传数据的范围可能远超用户为完成当前任务而主动提供给 AI 的代码。
从网络流量中克隆完整仓库:
此次测试针对的是 Grok Build CLI 0.2.93 版,研究人员通过抓包分析工具监控 Grok Build 的网络请求,并在仓库中添加带有唯一标记的文件以及模拟密钥来测试 Grok Build 的行为。测试过程中研究人员向 Grok Build 发送简单指令,要求其只回复 OK,不要读取或打开任何文件。
然而网络流量显示,Grok Build 仍然向服务器上传仓库数据,研究人员随后从捕获的数据中恢复出 Git bundle 并成功克隆出完整仓库。恢复后的仓库包括:测试文件内容、原本没有要求 Grok Build 读取的文件、Git 提交历史记录。
研究人员还使用其他独立仓库进行复测,复测也依旧复现类似行为,因此这并不是单次使用中出现的偶发性故障,而这也意味着 Grok Build 上传内容不只是 AI 为回答或解决问题而主动读取的文件,可能包含整个 Git 仓库状态。
12GB 仓库测试上传超过 5GB 数据:
为验证数据上传规模,研究人员创建约 12GB 的 Git 仓库,这个仓库里主要填充各类随机数据,测试过程中 Grok Build 用于发送模型上下文接口仅传输 192KB 的数据,但负责存储上传的接口已经上传约 5.1GB 的数据。研究人员称由于在测试过程中主动停止抓包,因此无法确认整个 12GB 仓库是否都上传,但已经可以确认 Grok Build 能够持续上传数 GB 级别的仓库数据。
至于上传的目标则是谷歌 GCP 平台的云存储,Grok Build 使用谷歌云相关接口用来上传和存储数据,从上传接口也可以看到数据并非发送到 SpaceXAI 的后端人工智能基础设施。
敏感数据未经脱敏就直接发送:
除了仓库上传问题外,研究人员还专门针对敏感信息处理情况进行测试。测试仓库中包含.env 配置文件,该文件里面包含用于测试目的的 API KEY 或数据库密码字段,测试显示当 Grok Build 读取该文件时,相关内容会直接进入发送给模型的请求,同时这些敏感字段也出现在上传的会话状态数据中。
这意味着 Grok Build 并未主动识别敏感字段数据并进行脱敏,而是直接将这些敏感数据发送给后端基础设施,因此可以确认 Grok Build 不会因为文件名为.env 或字段名称包含 API KEY 或 PASSWORD 等关键词就会阻止内容发送到模型。
Grok Build 使用风险急剧增加:
研究人员发布的报告已经在开发者社区引起关注,此次事件引发关注的重点不仅仅是代码上传本身,而是上传内容包含 Git 历史。Git 仓库经常保存大量已经删除但仍然存在于历史提交的信息,例如曾经提交过的 API 密钥、内部服务器地址、数据库配置、未公开功能代码以及企业内部文件等。
即使开发者后来删除这些内容,只要没有彻底清理 Git 历史,这些数据和代码就仍然存在于提交记录中,因此完整的 Git bundle 上传相比普通代码片段上传,可能带来更大的数据暴露范围。
关闭用户体验计划无法阻止上传:
研究人员还测试账户设置中的改进模型设置 (类似国内软件的用户体验计划),此类设置通常默认开启并允许开发商收集用户使用数据用来改善软件,研究人员测试关闭 Grok 账户中的改进模型设置,结果发现即便关闭该选项 Grok Build 也依然会继续上传仓库数据。
研究人员认为该选项更可能用于控制数据是否参与模型训练或产品改进,而不是控制代码是否发送到服务器,不过目前也没有证据表明 SpaceXAI 使用这些代码训练模型,也没有证据证明员工查看、出售或共享用户代码,所以争议的核心主要是数据上传范围和透明度问题。
via Cereb Lab
