Claude Code 埋标记、Grok 偷代码:AI 编程工具到底怎么了?
一周两个隐私事故,一个加了隐形水印,一个把你整个仓库搬上云端。它们之间差了多少个"信任崩坏"?
懒人版:30 秒看完结论
| 维度 | Claude Code(Anthropic) | Grok Build CLI(xAI) |
|---|---|---|
| 做了什么 | 系统提示嵌入隐形 Unicode 标记,识别用户所在地 | 将完整代码仓库(含 .env 密钥)以 git bundle 形式上传至 xAI 的 GCS 存储桶 |
| 隐私危害程度 | 追踪行为(隐私影响近乎为零) | 数据外泄(严重,密钥明文传输) |
| 是否有知会用户 | 无明确披露 | 无任何披露,"改进模型"开关形同虚设 |
| 当前状态 | Anthropic 回应并修复 | xAI 静默添加远程开关 disable_codebase_upload: true,未公开回应 |
| 行业影响 | 触发工信部提醒,引发透明性质疑 | 引发 AI 编程工具的全面信任危机,Hacker News 353 points 热议 |
这两件事发生在一周之内,但它们的性质、严重程度和对行业的冲击力,完全不是一个量级。放在一起看,却揭示了一个更深层的问题。
一、两个"瓜"的对比
同一周,两个事故
2026 年 7 月 8 日,安全社区发现 Anthropic 的 Claude Code 在系统提示中嵌入了肉眼不可见的 Unicode 标记(零宽字符),用于识别用户所在地域,包括区分用户是否来自中国。消息传出后,中国工信部发出提醒,引发了一场关于 AI 工具"透明度"的讨论。
仅仅两天后,安全研究员 cereblab 在 Hacker News 上发帖,揭露 xAI 的 Grok Build CLI(v0.2.93)会在用户不知情的情况下,将整个代码仓库——包括完整的 git 历史——以 git bundle 格式上传到 xAI 的 Google Cloud Storage 存储桶(grok-code-session-traces)。更严重的是,.env 文件中的密钥是明文传输的。
所以呢? 2026 年的开发者已经习惯了"工欲善其事,必先利其器",但这两件事说明:你在信任的工具,可能在用你无法预期的方式使用你的代码。Claude Code 是一个"灰色"问题,Grok Build 则直接跨过了红线。
严重程度不是一个量级
Claude Code 的 Unicode 标记事件,本质上是一个反爬/溯源机制。它没有将任何代码传出用户机器,只是通过系统提示内容来识别使用者的地域。从隐私角度看,它的危害确实"近乎为零"——它更像是一个透明度问题:Anthropic 为什么不提前告知用户?
Grok Build 是另一个故事。
cereblab 的测试数据触目惊心:在一个约 12 GB 的仓库测试中,Grok Build 的"存储通道"(storage channel)传输了 5.10 GiB 数据,而"模型通道"(model channel)仅传输了 192 KB。两者相差 27,800 倍。这意味着 Grok Build 的主要网络开销不是用于 AI 推理,而是用于上传你的代码。
中国安全博主"卡兹克"的跟进发现更为致命:Grok CLI 不仅上传用户自己的代码,还会扫描 ~/.claude.json、~/.claude/settings.local.json 等跨工具配置文件,并从这些文件中提取到了真实的 API 密钥。
所以呢? 如果 Grok Build 只是一个独立工具,它的安全隐患只影响自身用户。但当你发现它会扫描其他工具的配置文件、窃取其他平台的 API 密钥时,问题就从"一个工具的漏洞"升级为"整个 AI 工具链的安全漏洞"。你的 Claude API 密钥、你的 GitHub token,都可能因为一个你用来"图方便"的工具而泄露。
但它们指向同一个问题
虽然严重程度天差地别,Claude Code 和 Grok Build 指向的是同一个行业性缺陷:AI 编程工具正在以用户无法知情和控制的方式读取你的代码数据。
Claude Code 用隐形标记做了"轻量级"的事——识别用户。Grok Build 用静默上传做了"重量级"的事——窃取数据。两者的共同点是:都没有明确告知用户,没有给用户真正的选择权。
所以呢? 这不是一两家公司的问题,而是整个 AI 编程工具赛道的通病。当"快速迭代"和"数据飞轮"成为公司的核心 KPI 时,用户隐私往往是最先被牺牲的。
二、更深层的问题:AI 编程工具没有隐私标准
权限的灰色地带
AI 编程工具的运作逻辑决定了它必须读取你的代码——这就是它的价值所在。但问题在于:"读取以提供帮助"和"读取以上传分析"之间的边界,从未被清晰界定。
以 Cursor、GitHub Copilot 为代表的 AI 编程助手,通常会在首次使用时弹出一个"是否同意收集数据"的对话框。但这类对话框有几个固有缺陷:
- 全有或全无:要么允许上传,要么无法使用核心功能
- 过于笼统:"改进产品体验"可以涵盖从模型训练到用户画像分析的无数用途
- 默认开启:绝大多数用户不会去改设置
Grok Build 更进一步——它连这个对话框都没有。其设置中的"改进模型"开关被证明是无效的,即使关闭,代码仍然会被上传。
所以呢? 当前 AI 编程工具的"权限模型"还停留在"请求-授权"的最原始阶段,甚至不如手机 APP 的权限管理体系成熟。一个行业级工具,其数据处理的透明度还不如一个手电筒 APP,这本身就是问题。
"知情同意"的缺失
什么是真正的"知情同意"?至少应该包含以下几个要素:
- 明确告知:工具将读取哪些数据
- 明确用途:这些数据将用于什么目的
- 传输可见:数据是否会被上传到远程服务器
- 选择退出:用户可以拒绝上传而不影响核心功能
- 事后可查:用户可以查看哪些数据被上传了
比对这五条标准,Claude Code 和 Grok Build 的得分如下:
| 标准 | Claude Code(Unicode 标记事件) | Grok Build |
|---|---|---|
| 明确告知 | 否(事后才被发现) | 否(从未告知) |
| 明确用途 | 部分(可推断用于地域识别) | 否(未说明代码上传目的) |
| 传输可见 | 是(标记在系统提示中,不出本机) | 否(静默上传,无流量提示) |
| 选择退出 | 否 | 否(关闭"改进模型"无效) |
| 事后可查 | 是(可审查系统提示内容) | 否(用户无法得知上传了什么) |
Claude Code 的问题在于"透明度"——它做了一件可以被解释为合理的事,但没告诉用户。Grok Build 的问题在于"合法性"——它做了一件几乎无法被解释为合理的事,并且试图隐藏。
所以呢? "知情同意"不是法律合规的摆设,而是技术工具赢得信任的基础。当工具连"我们会上传你的代码"这句话都不敢说清楚,你觉得它敢对你的代码负责吗?
第三方审计的空白
更令人担忧的是,这些 AI 编程工具的运行逻辑对外部安全研究者几乎是黑箱。
Grok Build 的代码仓库上传行为是被安全研究员通过流量抓包发现的。如果 cereblab 不主动去做这个测试,xAI 可能永远不会公开这件事。同样,Claude Code 的 Unicode 标记也是社区逆向分析系统提示后才发现的。
这就是问题所在:AI 编程工具的隐私安全性,完全依赖厂商的自我约束和社区偶然发现,缺乏系统性的第三方审计机制。
所以呢? 如果一个行业的安全标准要靠"好事者抓包"来维护,这个行业本身就处于不安全状态。对于技术管理者和 CTO 来说,这意味着你无法仅凭厂商的品牌声誉来评估工具的隐私风险——你需要自己去做审计,或者等待社区帮你做审计。
三、为什么开发者应该在意
商业风险:代码即知识产权
对于任何科技公司来说,源代码是最核心的知识产权之一。当你的开发者使用 AI 编程工具时,以下场景是否让你感到不安:
- 包含核心算法的代码被上传到 xAI 的 GCS 存储桶
- 预发布功能的 git commit 历史被以 bundle 形式传输
- 竞争对手的 AI 公司拿到了你的代码用于自己的模型训练
这已经不是科幻电影里的桥段。Grok Build 事件证明了:这些风险是真实的,而且是正在发生的。
所以呢? 如果你是一家公司的 CTO 或技术负责人,你应该立刻审视团队使用的 AI 编程工具的数据上传策略。一个简单的原则是:任何将代码上传到外部服务器的行为,都应该经过明确的审批和通知流程。
合规风险:客户数据保护
如果你的公司处理客户数据(无论是 SaaS 还是企业服务),AI 编程工具的隐私问题还涉及合规风险。
- 开发者的本地环境中可能包含客户 PII(个人身份信息)的样本数据
- .env 文件中可能包含第三方服务的访问凭证
- 代码仓库中可能意外包含客户配置信息
当这些数据通过 AI 编程工具被上传到第三方服务器时,你的公司可能已经违反了与客户签署的数据保护协议,甚至违反了 GDPR、《个人信息保护法》等法规。
所以呢? AI 编程工具的隐私问题不只是"技术宅的吐槽",它是一个真实的法律合规风险。对于有法务团队的公司,这个风险应该被纳入供应商安全评估流程。
信任风险:工具链的连锁反应
卡兹克的发现——Grok CLI 扫描了 ~/.claude.json——揭示了一个更令人不安的维度:工具之间的信任链正在断裂。
如果你现在是一个开发者,你可能会开始怀疑:
- Cursor 是否在读取我的 VS Code 设置?
- GitHub Copilot 是否在上传我不希望上传的文件?
- 所有 AI 编程工具的数据上传策略是否都如它们声称的那样?
这种信任一旦崩塌,恢复起来非常困难。
所以呢? AI 编程工具行业正处于一个微妙的时刻:用户对 AI 的兴奋感仍然很强,但对工具提供商的信任已经在动摇。如果主流厂商不尽快建立透明的数据治理标准,这个市场的增长可能会被隐私担忧所抑制。
四、行业需要什么
披露标准:工具应该明确告知上传什么
行业需要一个标准化的数据披露框架。这个框架应该规定:
- 哪些类型的数据会被收集(代码内容、文件路径、环境变量、git 历史等)
- 数据收集的目的(即时推理、模型训练、行为分析等)
- 数据传输和存储的安全措施(是否加密、存储多久、谁有权访问)
这个标准不应该由每家厂商自行定义,而应该由行业协会或标准化组织来制定,类似 OWASP 在 Web 安全领域的角色。
本地优先:代码应该在本地处理
越来越多的证据表明,AI 编程工具的核心推理过程完全可以在本地完成,不需要将用户代码上传到云端。
- 本地模型(如 Ollama、llama.cpp)的发展正在缩小与云端模型的差距
- 敏感操作(如代码安全审计)应该优先使用本地推理
- 即使需要云端增强,也应该使用差分隐私或联邦学习等技术,最大限度减少原始代码外泄
对于技术管理者来说,在制定 AI 编程工具的选用策略时,"本地优先"应该作为一条基本原则。
可审计:开放网络行为的检查能力
用户应该有能力审计 AI 编程工具的网络行为。具体来说,工具应该:
- 提供开发者模式下的网络流量日志
- 允许用户查看哪些文件被上传、上传到哪里、存储了多久
- 提供可验证的完整性证明,确保数据传输符合用户设置
这些能力不应该依赖工具厂商的自愿提供,而应该成为产品的基本功能。
所以呢? 隐私不是 AI 编程工具的附加功能,而是核心功能。一个工具能否被企业广泛采用,隐私保护能力将成为一个决定性因素。能够率先建立透明、可信的数据治理体系的厂商,将在下一阶段的竞争中占据明显优势。
总结
2026 年 7 月这一周,AI 编程工具行业经历了两次"隐私地震"。
一次是 3 级——Claude Code 的 Unicode 标记。它让你不舒服,但没有实际伤害。它告诉我们:即使是最注重安全的 AI 公司,也可能在透明度上犯错误。
一次是 8 级——Grok Build 的静默代码上传。它对你的代码构成了真实威胁,而且是在你完全不知情的情况下进行的。
这两件事的不同之处在于严重程度,但相同之处在于:它们都反映了 AI 编程工具行业缺乏统一的数据治理标准。
对于技术管理者和开发者来说,现在需要做的事情很明确:
- 审视正在使用的 AI 编程工具的数据上传策略
- 要求工具提供商提供透明的数据处理说明
- 推动行业建立可审计的隐私披露标准
AI 编程工具是有价值的——没有人否认这一点。但只有建立在信任基础上的工具,才能走得更远。
本文事实来源:
- cereblab 在 Hacker News 上关于 Grok Build CLI 的原始披露(2026-07-10)
- 社区关于 Claude Code Unicode 标记的逆向分析报告(2026-07-08)
更多推荐

所有评论(0)