本文来自微信公众号: APPSO ,作者:发现明日产品的,原文标题:《马斯克的Grok 4.5刚追上Claude,转头就把用户整个代码库偷偷打包带走》
Fable 5延期,GPT-5.6发布,Grok 4.5发布,Gemini 3.5 Pro也有消息透露将在本月17号发布。
海外模型的发布节奏似乎又回到了一年前,你追我赶的快节奏。但曾经的「御三家」Claude、ChatGPT、Gemini,似乎随着Gemini 3.5 Thinking的拉垮,慢慢变成了Claude和ChatGPT两家独大的局面。

马斯克自然不会放过这个可以挤进「御三家」的机会,前几天直接在X发文说,Grok 4.5的Beta版本深受好评,内部认为它已经是Opus级别的模型,性能和Opus 4.7大致相当,但速度更快、成本更低。
所以正式将Grok 4.5开放给所有用户,并且每天都还在持续更新迭代。马斯克提到目前的Grok 4.5是1.5T,即1万5000亿参数大模型,它们计划在本月底训练好2T大模型并发布。

不得不说,数据还是大模型的护城河。作为首款和Cursor合作训练开发的模型,有了Cursor的大量代码数据,加上马斯克的数万块NVIDIA GB300 GPU,Gork 4.5在编程方面、智能体以及知识工作上,对比前代Grok 4.3都有了明显的增强。

社交媒体上对Grok 4.5的评价也比较正面,在Reddit社区的/r/cursor版块中,多位用户表示,Grok 4.5的实际推理精细度已完全不亚于Claude Sonnet 4.6级别,并且在Token消耗上极其节制。
他们分享自己的使用方式,在日常的高负荷开发中,选择Grok 4.5的高推理(High Reasoning Effort)进行前期的大脑思考与复杂架构规划,然后利用/goal模式自动将开发任务流移交给子智能体(如轻量级的Composer 2.5)去并发撰写,能做到超高的性价比。
在X上,好评的声音就更多了。不少开发者说自己已经把主力模型从Opus 4.8切到了Grok 4.5;还有用户说一天试用后,它对自己的use case已经能完成Opus 4.8能做的几乎所有事。
快、准确、便宜、能适用于日常工作,这些几乎就是Grok 4.5的正面关键词。

Grok 4.5任务的运行成本仅为0.31美元,低于GLM-5.2和Kimi K2.6,比Claude Sonnet 5(最高版本)的成本低5倍。
我们也拿之前的3D网页生成测试了一下Grok 4.5,依旧是使用Three.js框架,要求它构建一个熊在瀑布边上捕获鲑鱼的场景。
目前Grok 4.5在其官方的终端平台Grok CLI中可以免费使用,不过额度有限。一开始我们没有开通会员,结果Grok自己运行了不到5分钟,就开始提升「您已经达到了使用上限,请开通会员。」

除了官方的Grok CLI,我们也可以通过其API平台和第三方像是OpenRouter等API聚合服务平台,在不同的Agent工具中调用Grok 4.5。

充值会员之后,Grok 4.5继续完成了任务。最终的结果要说好肯定是有点牵强,对比GPT-5.6和Fable 5有完整的逻辑,充分的细节,Grok 4.5生成的页面更倾向于一个粗糙的半成品,有些地方做好了,但也有很明显的Bug。
继续测试,让它做一个3D版的故宫,包含一天24h不同时间的变化,以及增加雪景、人流、灯笼等控制。
这次的结果算是比较合理,能够对得上它自己声称Opus级别的模型,甚至在一些视角的效果,比GPT-5.6看起来要更真实一点。

还有哈尔滨的冰雪大世界,基本上都能做到,但是和Fable 5还是有着明显的差距。


除了3D网页的生成,我们还测试了一些深度研究、简单的网页项目。像是要求它「深度研究一下Grok 4.5的消息,模型能力,用户口碑,以及最近的相关事件。」

本以为它能调研到最近的越狱攻击事件,以及Grok CLI爆出来的严重Bug,会自动上传用户本地电脑文件,但结果都没有。
整体报告也更像是单纯地把Markdown文档渲染成网页,没有添加额外的交互效果,好在报告内容是比较详尽的,泛泛的空话比较少。

上下滑动查看更多内容
当我继续要求它重新制作该网页,做得更加高科技、精致美观、有着大胆创新的设计时,Grok 4.5的推理链条里直接写着「按高级科技感方向重做整页:更强视觉体系、动效与交互。」
而具体采用的方法就是粒子背景、玻璃拟态、滚动揭示、数字跳动等动效加载,实际的效果还是有点难评。尤其是这个渐变紫,已经PTSD了。

当要求Grok 4.5直接在Grok CLI里面帮我们做一个Word转Markdown的macOS App时,Grok 4.5会先提示「系统没有完整的Xcode,无法编译原生SwiftUI,改用Electron来实现。」
500K的上下文对比256K确实更没有那么吃力,不需要频繁的上下文压缩,马斯克也提到在本周内会尽快扩充到1M的上下文。
最后,Grok 4.5只用了三分钟左右的时间,就做完了这个App,实测之后确实能顺利转换。

文件的格式转换只是一个小项目,当要求它复刻一个PDF Expert出来时,Grok 4.5也表示这是一个大型项目,但这次的测试,它又突然说我的电脑环境具备Swift 6与XCode,开始搭建可运行的macOS原生App。

最后生成的PDF Expert也比较符合期待,虽然功能没有100%复刻,但是简单的批注、高亮、框选这些功能都有。

1.5万亿参数也扛不住的「越狱」攻击
伴随算力与Agent操作权限,例如MCP、代码执行、实时联网等能力的激增,Grok 4.5也在发布后面临着高密度的对抗性安全测试。当前多模态和复杂的Agent系统,都面临着直接的结构性脆弱问题。

上下滑动查看更多内容
在Grok 4.5推出仅数小时后,网络安全研究员「普林尼」(Pliny the Liberator)在X平台上高调展示了labeled为「PWNED GROK-4.5」的系统越狱截图,显示该模型绕过了安全防御,输出了违禁的高危管制知识。
安全界剖析了这次的「越狱」,提到此类攻击并非传统的数据库脱库或服务器物理越权,而是完全通过对抗性提示词(Adversarial Prompting)实施的逻辑欺骗。
大参数模型在带来更强推理能力,能帮我们拦截表面上的恶意变体、识别隐晦表达的同时,也带来了更强的理解和执行恶意掩护故事的能力。
多轮越狱攻击者会充分利用模型的retry预算与多轮对话窗口,在逐步交流中「诱导」模型生成上下文负荷,利用大上下文窗口的注意力衰退,引导模型彻底遗忘系统提示词的安全边界,使模型在实质上无视系统合规政策。
普林尼在上个月就曾发布帖子,公开宣布成功绕过了Fable 5安全分类器的对抗性提示词,并泄露了其完整的、高达120040字符的底层系统提示词。
Pliny团队之所以能让Fable 5吐出绝对限制区内的恶意代码与危险化学品配方,核心在于采用了三种致命的对抗性策略,字形层面的高度混淆,长上下文中的意图稀释和极具说服力的角色设定伪装。
Grok CLI偷偷上传用户本地文件
除了模型上「越狱」的封面,还有Grok CLI已经从本地电脑越狱的问题。
为了直接与Claude Code和OpenAI Codex展开竞争,SpaceXAI强力推荐其全新的命令行终端开发工具Grok Build CLI。用户想要免费体验Grok 4.5,也必须从命令行安装Grok CLI。
但是,在模型发布数天后,安全研究员cereblab在对其进行常规安全性审计时,通过在macOS环境下配置中间人代理工具(mitmproxy),揭开了一起震惊整个开发者社区的严重数据静默外泄事件。

根据cereblab发布的wire-level网络数据包捕获实证,Grok Build CLI在本地初始化和每次任务执行时,会以完全隐蔽的形式,在后台将用户的整个本地项目仓库进行强制性打包,并将其传输至SpaceXAI的云端服务器上。
在一次控制变量实验中,研究员在提示词中明确下达了「回复确认即可,严禁读取或打开任何本地文件」的绝对指令。
然而,网络监控流依然显示,Grok CLI还是在短时间内启动了本地打包程序,将包括研究员特意安插、从未被代理逻辑触及的测试文件never_read_canary.txt在内的全部代码库,完整地传输给了SpaceXAI。

上下滑动查看更多内容
无论上层大模型代理的意图如何被人类对齐,其底层的客户端工程仍然存在大量风险,安插的上传逻辑,能直接违背用户指令,上传文件。
数据包解包分析显示,Grok Build CLI数据收集行为的深度和广度超出了正常的遥测和辅助上下文范围。
CLI并不是挑选与当前问题相关的代码片段进行轻量级上传,而是直接将当前目录作为Git仓库进行整库打包。开发者在过去数月中进行的每一次代码提交、每一次临时修改、甚至是曾经删除过的敏感历史记录,都被一并静默打包并发送。
更具破坏性的还有跨目录的越界收集行为。
实测表明,Grok Build CLI(v0.2.93版本)的数据采集触角不仅局限于当前执行命令的工作区目录,还会对用户的全局系统主目录进行深度扫描。
报告里面提到,Grok CLI静默窃取并打包了包括~/.claude.json(Claude Code的全局登录凭据)、Claude Code客户端的本地设置文件、全局AGENTS规则、多达三十余个自定义的Skill配置文件,以及保存在这些配置中的第三方平台API密钥。

在针对一个包含随机不活跃文件的大型12 GB测试仓库的极限压力测试中,数据流特征表现出了极度失衡的态势。
这项对比数据通过具体的流量比值,直接将本次静默上传事件定性为大规模的、具有供应链间谍软件特征的数据窃取行为,而非合理的、技术性的推理上下文同步。
针对这件事,Grok官方SpaceXAI也在X回复称对于那些选择了Zero Data Retention(ZDR,零数据保留)的团队,不会保留任何数据。
用户也可以使用/privacy命令来禁用数据保留,以及删除以前同步的数据。

但评论区大量的用户对这个回复不满意,有网友说ZDR只适用于企业用户,还有网友说问题的本质是Grok会把12G的文件都上传,这是Grok CLI应用本身的问题,不要试图把事情改成「你没有选择退出。」

上下滑动查看更多内容
马斯克表示,此前上传到SpaceXAI的所有用户数据将被彻底删除,不保留任何数据。

随后又转发一条说AI时代没有真正的数据隐私。就像他之前回应SpaceXAI的数据政策时提到,
如果能够保留一些数据,实际上对调试问题很有帮助,所以如果您允许这样做,我们将不胜感激,但我们始终尊重您的隐私设置。

模型变强了,但是工具又没跟上,这次的静默打包上传数据事件一公开,评论区的网友就开始说要退订Grok Build的会员。
Grok 4.5确实比过去任何一代Grok都更成熟,很多任务已经能进入Claude、GPT的竞争区间,甚至凭借价格优势,成为不少开发者新的日常模型。
但过去大家比的是模型,现在大家比的是谁更值得把电脑交给它。
Claude模型有本地的Claude应用,ChatGPT有Codex,Gemini的本地应用目前还没有什么特色,Grok还在命令行终端。AI大模型争夺的阵地,就这样从聊天窗口,来到了整个操作系统。
而随着能力越强,意味着需要交出去的权限也越多。权限越多,用户对透明度和信任的要求,也会越来越高。
所以,Grok 4.5模型的越狱和Grok CLI的这次风波,大概率不会是最后一次。
未来无论是Claude、ChatGPT、Gemini,还是Grok,都不可避免地要解决同一个问题:我们不仅仅是选择一个模型,更是一整套完整的工作方式。
这套工作方式里面的任何一环,都能互相成就,互相拖累。
