本文来自微信公众号: AI唱反调 ,作者:李小文
7月13日,安全研究者对xAI官方Grok CLI(npm包@xai-official/grok0.2.93版)做网络流量分析时发现:每轮任务前后,Grok会把当前工作目录打包成before_codebase.tar.gz和after_codebase.tar.gz,通过一条独立的旁路通道,静默上传到xAI的Google Cloud存储桶。上传包里包含.env密钥、.git完整历史、仓库外的~/.claude.json,以及30多个Skill文件。
安全研究者实测验证,即便在系统提示词中明确限定"禁止读取任何本地文件",全量打包上传的逻辑仍会触发。上传行为完全独立于模型任务,是写死在CLI底层的强制流程。
xAI的反应很快。7月13日凌晨,他们通过服务端远程开关关闭了默认上传行为。但没有公告,没有邮件通知已安装用户,没有解释为什么会存在这个设计。
法律层面这很难定义为"窃取",更准确的说法是"未充分告知的默认全量数据采集",是用户协议与产品设计之间的灰色地带。但灰色不代表合理。当产品行为突破了用户的默认预期,信任崩塌只需要一次抓包。

情绪宣泄容易,结构性追问难。
全网都在骂马斯克"表里不一"。天天在X上骂其他AI公司不值得信任,结果自己的工具做了最不值得信任的事。骂得再狠,也只停留在道德层面。
Grok CLI的问题,根子出在架构设计。0.2.93版本把上传逻辑写进了默认流程,一个旁路通道、两套打包文件、全程无提示。这几样东西同时出现,很难用"某个工程师手滑写错了一行代码"来解释。
对比一下就知道差距在哪。Claude Code个人版、GitHub Copilot免费版默认采用"增量采集"逻辑,只上传与AI交互过的代码片段、修改记录和纠错反馈,且用户可在设置中手动关闭"允许用于模型改进"的权限;企业版则支持数据不出域、不参与训练。这是留了缓冲带。

xAI不一样。全量打包、旁路上传、全程无提示、没有开关。缓冲带?直接拆了。
其他厂商是"悄悄拿",xAI是连门都懒得多走一步,直接把整面墙搬走。区别不在道德高下,在合规颗粒度和技术成熟度。
你以为是你在调用AI,其实是AI在调用你的工作流。
人设与产品的裂缝,比代码更刺眼
这里有个更值得玩味的细节。
马斯克在科技圈的公开姿态是什么?他是那个宣称"AI权力过度集中很危险"的人。起诉OpenAI、反对微软垄断、鼓吹开源和透明。结果xAI的官方工具,在用户完全不知情的情况下,把他们的代码仓库、密钥、git历史全部打包上传。修复方式是远程静默关闭,不发公告,不通知用户,不解释为什么。
一个声称要对抗AI权力集中的公司,用的恰恰是它所反对的那套架构逻辑:默认开启、用户无感知、数据单向透明、事后不解释。
这暴露了一个更深层的行业现实:当模型公司面临算力成本和训练数据的双重压力时,"用户控制权"是第一个被牺牲掉的变量。用代码训练代码生成能力,是成本最低、数据质量最高的路径之一。与其花钱买数据集,不如直接用真实开发者的仓库喂模型。马斯克不是不知道这样做有问题,他只是选择了先跑通商业模式。
但这不只是马斯克个人的言行裂缝,更是整个AI行业的集体悖论。厂商都在对外讲"AI赋能个体、赋能企业"的叙事,但所有头部厂商的底层商业模式,都建立在"用户数据反向喂养模型"的逻辑之上。人设喊得越响,只是因为它的商业逻辑越需要用价值观包装。xAI只是做得更露骨,把全行业心照不宣的潜规则,直接写进了产品代码里。
这种激进的数据采集不是偶然。当通用互联网数据已经被大模型吃干榨尽,高质量的工业级代码、企业真实业务逻辑,就成了下一代模型迭代的核心燃料。谁拿到更多真实工程数据,谁就能在编码能力上拉开代差。
脱敏救不了你,模型看的是走路姿势
很多人会觉得:我把敏感字段删掉不就行了?把.env里的密钥清空,把客户数据脱敏,把硬编码的密码去掉。
这想法太天真了。
模型从你的代码里提取的,根本不是那几行明文密钥,而是架构思路、排错经验、业务逻辑、工程范式。一家SaaS公司用AI写客户管理系统的核心代码,哪怕删掉了所有客户数据和密钥明文,代码里的并发处理逻辑、权限分级架构、异常兜底方案、数据库索引设计,都会被模型吸收。
同赛道的竞品用同款AI工具时,相当于间接拿到了你花几百万踩出来的坑。模型免费把你的架构经验教给了对手,而你根本不知道这件事发生了。
脱敏遮住的是脸,模型看的是你的走路姿势。
这次事件之后,所有用AI编程工具的企业都得重新算一笔账:你的代码资产,到底值多少钱?
建议把代码分成三级。

一级:非核心代码(可通用工具)。开源组件、通用脚本、前端页面、内部工具类代码,泄露不影响核心竞争力。
二级:核心业务代码(需私有化部署)。产品主架构、业务逻辑、自研算法、权限系统,必须使用私有化部署模型,数据不出企业内网。
三级:机密代码(禁止外部AI)。加密协议、风控模型、核心专利算法、未公开的底层架构,禁止接入任何外部AI工具,全程人工开发审计。
未来企业AI编码能力的差距,看的不只是模型强弱,更看核心代码有没有流进通用模型的训练池。
xAI这次翻车,不会杀死AI编程工具,但会杀死"默认上传"的商业模式。监管当然会跟进,但监管的速度永远慢于技术。真正推动改变的,是市场。当企业发现"免费试用"的真实代价是代码资产流失,他们会用脚投票。
一个反直觉的真相:很多人以为开源AI工具更安全,但实际上,不少开源编码工具同样内置了隐蔽的数据上报逻辑。安全边界和开源闭源的标签无关,只取决于你的数据有没有离开本地。
这次事件之后,所有AI编码工具的隐私政策将被迫重新被审视。监管没杀死这种模式,市场给它标了价。
你的代码教会了Grok怎么写更好的代码,而Grok不会告诉你它学了什么。
免费工具最诚实的定义,大抵如此。
