本文介绍Grok 4.5的性能表现与曝出的安全隐私问题,探讨大模型竞争进入信任与权限博弈阶段。 ## 1. Grok 4.5:追赶头部的新发布大模型 马斯克宣布Grok 4.5 Beta为Opus级模型,性能对标Opus 4.7,速度更快、成本更低,当前是1.5万亿参数,月底计划推出2T参数版本。它是首款与Cursor合作训练的模型,拥有数万块NVIDIA GB300 GPU支持,编程、智能体能力相比前代Grok 4.3提升明显。用户实测反馈正面,日常开发性价比高,运行任务成本仅0.31美元,比Claude Sonnet 5(最高版本)低5倍,部分场景表现接近头部模型,也存在部分生成粗糙的问题。 ## 2. 发布数小时即被成功越狱破解 Grok 4.5推出仅数小时,安全研究员就通过对抗性提示词完成越狱,绕过安全防御输出了高危违禁内容。此类攻击利用大参数模型对恶意故事的理解能力,结合长上下文的注意力衰退特点,诱导模型遗忘安全边界,本次破解沿用了此前攻破Fable 5安全防御的成熟对抗策略。 ## 3. Grok CLI被曝静默打包上传用户全量代码库 安全研究员通过抓包证实,Grok Build CLI会在后台隐蔽打包用户整个本地项目仓库,甚至越界扫描用户系统主目录,违规获取Claude Code登录凭据、第三方API密钥等敏感信息,不属于合理的上下文同步,符合大规模数据窃取特征。即使明确下达禁止读取本地文件的指令,Grok CLI仍会完成全量上传,会将Git仓库中所有提交、已删除的历史记录全部打包发往云端。 ## 4. 官方回应与行业启示 官方回应称选择零数据保留的企业用户不会留存数据,普通用户可通过命令禁用数据保留、删除已同步数据,马斯克也承诺删除已上传数据,但用户不认可该回应,认为问题出在产品本身的默认上传逻辑。大模型竞争已从模型能力比拼延伸到全系统信任比拼,能力越强需要的用户权限越多,用户对透明度和隐私保护的要求也越高,所有头部厂商都需要解决能力与信任的平衡问题。
马斯克的Grok4.5刚追上Claude,转头就把用户整个代码库偷偷打包带走
2026-07-15 12:02

马斯克的Grok4.5刚追上Claude,转头就把用户整个代码库偷偷打包带走

本文来自微信公众号: APPSO ,作者:发现明日产品的,原文标题:《马斯克的Grok 4.5刚追上Claude,转头就把用户整个代码库偷偷打包带走》


Fable 5延期,GPT-5.6发布,Grok 4.5发布,Gemini 3.5 Pro也有消息透露将在本月17号发布。


海外模型的发布节奏似乎又回到了一年前,你追我赶的快节奏。但曾经的「御三家」Claude、ChatGPT、Gemini,似乎随着Gemini 3.5 Thinking的拉垮,慢慢变成了Claude和ChatGPT两家独大的局面。



马斯克自然不会放过这个可以挤进「御三家」的机会,前几天直接在X发文说,Grok 4.5的Beta版本深受好评,内部认为它已经是Opus级别的模型,性能和Opus 4.7大致相当,但速度更快、成本更低。


所以正式将Grok 4.5开放给所有用户,并且每天都还在持续更新迭代。马斯克提到目前的Grok 4.5是1.5T,即1万5000亿参数大模型,它们计划在本月底训练好2T大模型并发布。



不得不说,数据还是大模型的护城河。作为首款和Cursor合作训练开发的模型,有了Cursor的大量代码数据,加上马斯克的数万块NVIDIA GB300 GPU,Gork 4.5在编程方面、智能体以及知识工作上,对比前代Grok 4.3都有了明显的增强。



社交媒体上对Grok 4.5的评价也比较正面,在Reddit社区的/r/cursor版块中,多位用户表示,Grok 4.5的实际推理精细度已完全不亚于Claude Sonnet 4.6级别,并且在Token消耗上极其节制。


他们分享自己的使用方式,在日常的高负荷开发中,选择Grok 4.5的高推理(High Reasoning Effort)进行前期的大脑思考与复杂架构规划,然后利用/goal模式自动将开发任务流移交给子智能体(如轻量级的Composer 2.5)去并发撰写,能做到超高的性价比。


在X上,好评的声音就更多了。不少开发者说自己已经把主力模型从Opus 4.8切到了Grok 4.5;还有用户说一天试用后,它对自己的use case已经能完成Opus 4.8能做的几乎所有事。


快、准确、便宜、能适用于日常工作,这些几乎就是Grok 4.5的正面关键词。



Grok 4.5任务的运行成本仅为0.31美元,低于GLM-5.2和Kimi K2.6,比Claude Sonnet 5(最高版本)的成本低5倍。


我们也拿之前的3D网页生成测试了一下Grok 4.5,依旧是使用Three.js框架,要求它构建一个熊在瀑布边上捕获鲑鱼的场景。


目前Grok 4.5在其官方的终端平台Grok CLI中可以免费使用,不过额度有限。一开始我们没有开通会员,结果Grok自己运行了不到5分钟,就开始提升「您已经达到了使用上限,请开通会员。」



除了官方的Grok CLI,我们也可以通过其API平台和第三方像是OpenRouter等API聚合服务平台,在不同的Agent工具中调用Grok 4.5。



充值会员之后,Grok 4.5继续完成了任务。最终的结果要说好肯定是有点牵强,对比GPT-5.6和Fable 5有完整的逻辑,充分的细节,Grok 4.5生成的页面更倾向于一个粗糙的半成品,有些地方做好了,但也有很明显的Bug。


继续测试,让它做一个3D版的故宫,包含一天24h不同时间的变化,以及增加雪景、人流、灯笼等控制。


这次的结果算是比较合理,能够对得上它自己声称Opus级别的模型,甚至在一些视角的效果,比GPT-5.6看起来要更真实一点。



还有哈尔滨的冰雪大世界,基本上都能做到,但是和Fable 5还是有着明显的差距。




除了3D网页的生成,我们还测试了一些深度研究、简单的网页项目。像是要求它「深度研究一下Grok 4.5的消息,模型能力,用户口碑,以及最近的相关事件。」



本以为它能调研到最近的越狱攻击事件,以及Grok CLI爆出来的严重Bug,会自动上传用户本地电脑文件,但结果都没有。


整体报告也更像是单纯地把Markdown文档渲染成网页,没有添加额外的交互效果,好在报告内容是比较详尽的,泛泛的空话比较少。


上下滑动查看更多内容


当我继续要求它重新制作该网页,做得更加高科技、精致美观、有着大胆创新的设计时,Grok 4.5的推理链条里直接写着「按高级科技感方向重做整页:更强视觉体系、动效与交互。」


而具体采用的方法就是粒子背景、玻璃拟态、滚动揭示、数字跳动等动效加载,实际的效果还是有点难评。尤其是这个渐变紫,已经PTSD了。



当要求Grok 4.5直接在Grok CLI里面帮我们做一个Word转Markdown的macOS App时,Grok 4.5会先提示「系统没有完整的Xcode,无法编译原生SwiftUI,改用Electron来实现。」


500K的上下文对比256K确实更没有那么吃力,不需要频繁的上下文压缩,马斯克也提到在本周内会尽快扩充到1M的上下文。


最后,Grok 4.5只用了三分钟左右的时间,就做完了这个App,实测之后确实能顺利转换。



文件的格式转换只是一个小项目,当要求它复刻一个PDF Expert出来时,Grok 4.5也表示这是一个大型项目,但这次的测试,它又突然说我的电脑环境具备Swift 6与XCode,开始搭建可运行的macOS原生App。



最后生成的PDF Expert也比较符合期待,虽然功能没有100%复刻,但是简单的批注、高亮、框选这些功能都有。



1.5万亿参数也扛不住的「越狱」攻击


伴随算力与Agent操作权限,例如MCP、代码执行、实时联网等能力的激增,Grok 4.5也在发布后面临着高密度的对抗性安全测试。当前多模态和复杂的Agent系统,都面临着直接的结构性脆弱问题。


上下滑动查看更多内容


在Grok 4.5推出仅数小时后,网络安全研究员「普林尼」(Pliny the Liberator)在X平台上高调展示了labeled为「PWNED GROK-4.5」的系统越狱截图,显示该模型绕过了安全防御,输出了违禁的高危管制知识。


安全界剖析了这次的「越狱」,提到此类攻击并非传统的数据库脱库或服务器物理越权,而是完全通过对抗性提示词(Adversarial Prompting)实施的逻辑欺骗。


大参数模型在带来更强推理能力,能帮我们拦截表面上的恶意变体、识别隐晦表达的同时,也带来了更强的理解和执行恶意掩护故事的能力。


多轮越狱攻击者会充分利用模型的retry预算与多轮对话窗口,在逐步交流中「诱导」模型生成上下文负荷,利用大上下文窗口的注意力衰退,引导模型彻底遗忘系统提示词的安全边界,使模型在实质上无视系统合规政策。


普林尼在上个月就曾发布帖子,公开宣布成功绕过了Fable 5安全分类器的对抗性提示词,并泄露了其完整的、高达120040字符的底层系统提示词。


Pliny团队之所以能让Fable 5吐出绝对限制区内的恶意代码与危险化学品配方,核心在于采用了三种致命的对抗性策略,字形层面的高度混淆,长上下文中的意图稀释和极具说服力的角色设定伪装。


Grok CLI偷偷上传用户本地文件


除了模型上「越狱」的封面,还有Grok CLI已经从本地电脑越狱的问题。


为了直接与Claude Code和OpenAI Codex展开竞争,SpaceXAI强力推荐其全新的命令行终端开发工具Grok Build CLI。用户想要免费体验Grok 4.5,也必须从命令行安装Grok CLI。


但是,在模型发布数天后,安全研究员cereblab在对其进行常规安全性审计时,通过在macOS环境下配置中间人代理工具(mitmproxy),揭开了一起震惊整个开发者社区的严重数据静默外泄事件。



根据cereblab发布的wire-level网络数据包捕获实证,Grok Build CLI在本地初始化和每次任务执行时,会以完全隐蔽的形式,在后台将用户的整个本地项目仓库进行强制性打包,并将其传输至SpaceXAI的云端服务器上。


在一次控制变量实验中,研究员在提示词中明确下达了「回复确认即可,严禁读取或打开任何本地文件」的绝对指令。


然而,网络监控流依然显示,Grok CLI还是在短时间内启动了本地打包程序,将包括研究员特意安插、从未被代理逻辑触及的测试文件never_read_canary.txt在内的全部代码库,完整地传输给了SpaceXAI。


上下滑动查看更多内容


无论上层大模型代理的意图如何被人类对齐,其底层的客户端工程仍然存在大量风险,安插的上传逻辑,能直接违背用户指令,上传文件。


数据包解包分析显示,Grok Build CLI数据收集行为的深度和广度超出了正常的遥测和辅助上下文范围。


CLI并不是挑选与当前问题相关的代码片段进行轻量级上传,而是直接将当前目录作为Git仓库进行整库打包。开发者在过去数月中进行的每一次代码提交、每一次临时修改、甚至是曾经删除过的敏感历史记录,都被一并静默打包并发送。


更具破坏性的还有跨目录的越界收集行为。


实测表明,Grok Build CLI(v0.2.93版本)的数据采集触角不仅局限于当前执行命令的工作区目录,还会对用户的全局系统主目录进行深度扫描。


报告里面提到,Grok CLI静默窃取并打包了包括~/.claude.json(Claude Code的全局登录凭据)、Claude Code客户端的本地设置文件、全局AGENTS规则、多达三十余个自定义的Skill配置文件,以及保存在这些配置中的第三方平台API密钥。



在针对一个包含随机不活跃文件的大型12 GB测试仓库的极限压力测试中,数据流特征表现出了极度失衡的态势。


这项对比数据通过具体的流量比值,直接将本次静默上传事件定性为大规模的、具有供应链间谍软件特征的数据窃取行为,而非合理的、技术性的推理上下文同步。


针对这件事,Grok官方SpaceXAI也在X回复称对于那些选择了Zero Data Retention(ZDR,零数据保留)的团队,不会保留任何数据。


用户也可以使用/privacy命令来禁用数据保留,以及删除以前同步的数据。



但评论区大量的用户对这个回复不满意,有网友说ZDR只适用于企业用户,还有网友说问题的本质是Grok会把12G的文件都上传,这是Grok CLI应用本身的问题,不要试图把事情改成「你没有选择退出。」


上下滑动查看更多内容


马斯克表示,此前上传到SpaceXAI的所有用户数据将被彻底删除,不保留任何数据。



随后又转发一条说AI时代没有真正的数据隐私。就像他之前回应SpaceXAI的数据政策时提到,


如果能够保留一些数据,实际上对调试问题很有帮助,所以如果您允许这样做,我们将不胜感激,但我们始终尊重您的隐私设置。



模型变强了,但是工具又没跟上,这次的静默打包上传数据事件一公开,评论区的网友就开始说要退订Grok Build的会员。


Grok 4.5确实比过去任何一代Grok都更成熟,很多任务已经能进入Claude、GPT的竞争区间,甚至凭借价格优势,成为不少开发者新的日常模型。


但过去大家比的是模型,现在大家比的是谁更值得把电脑交给它。


Claude模型有本地的Claude应用,ChatGPT有Codex,Gemini的本地应用目前还没有什么特色,Grok还在命令行终端。AI大模型争夺的阵地,就这样从聊天窗口,来到了整个操作系统。


而随着能力越强,意味着需要交出去的权限也越多。权限越多,用户对透明度和信任的要求,也会越来越高。


所以,Grok 4.5模型的越狱和Grok CLI的这次风波,大概率不会是最后一次。


未来无论是Claude、ChatGPT、Gemini,还是Grok,都不可避免地要解决同一个问题:我们不仅仅是选择一个模型,更是一整套完整的工作方式。


这套工作方式里面的任何一环,都能互相成就,互相拖累。

AI创投日报频道: 前沿科技
本内容来源于网络 原文链接,观点仅代表作者本人,不代表虎嗅立场。
如涉及版权问题请联系 hezuo@huxiu.com,我们将及时核实并处理。
正在改变与想要改变世界的人,都在 虎嗅APP