马斯克认错之后,AI审计必须上场

封面图,马斯克与Grok机器人站在一台打开的电脑旁,代码仓库被打包成压缩文件飞向云端,醒目的隐私泄露警示符号,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

马斯克罕见认错,承认 Grok 偷走了用户代码,并承诺全部删除。

大家好,欢迎收听老范讲故事的 YouTube 频道。

只说了一声“Hello”,整个项目就被上传了

咱们先想象一个很有画面感的场景:你打开电脑,跟新装的 AI 编程助手说了一句“Hello,你好”。说完以后,它二话不说,把你整个项目的所有代码、配置,包括你藏在角落里的密码、密钥,打成一个压缩包,嗖地一下传到云端去了。

你没让它传,甚至还千叮咛万嘱咐它:“别传我的文件。”它还是给你传走了,而且传之前和传之后都没有跟你说任何话。这就是这一次 Grok 干的事情。

这个事情是不是特别像十几年前那个把很多人坑惨了的故事?有人拿着电脑去修,修电脑那哥们本来应该老老实实地把电脑修好,看见什么都当没看见,结果人家把电脑里的东西七七八八拷走以后,照片流传出来了,多少人成了全网的笑柄。这个就是陈冠希的故事。

用户只向AI编程助手打招呼,电脑里的代码、配置、密码和密钥却自动装入巨大压缩包并飞向云端,用户在一旁震惊阻拦,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

现在马斯克的 Grok 也干了一模一样的事情。这就是 AI 版的陈冠希事件。主角是马斯克他们家的 Grok Build,就是那个命令行的 AI 编程工具。

而且这回更劲爆的地方在哪儿?马斯克本人罕见地出来认错了,说:“是的,这是真的。我们确实传了,我保证全都给你删干净。”

马斯克认错本身就是个新闻。世界首富,万亿个人资产的世界首富,出来说:“对,我们干了。”但是今天咱们真正要聊的不是这个 bug,而是它背后越来越吓人的一个更大的问题。

安全研究员怎样抓到 Grok Build

咱们先把这个事情稍微捋一下,这个事情到底是怎么发生的。

有一个叫“塞雷布拉布”的安全研究员,这是他的网名。他是专门干这行的,也不会傻乎乎地真拿自己的项目去做测试。他搭了一个假的环境,里面放了一个假项目,然后在这个假项目里放了很多探针。

你可以这么理解:他往这个项目里塞了一堆做了记号的钞票,专门看看你的 AI 会不会伸手,到底把哪张拿走了。

我记得以前咱们还有一个梗:我到搜狐上注册用户叫张搜狐,在百度上注册用户叫赵百度,在腾讯上注册用户叫王腾讯。都注册完以后,有人给你打电话:“请问张搜狐先生吗?您是不是要种一颗牙?”你就知道是哪个地方把数据泄露了。

这位安全研究员埋记号有多讲究?他专门放了一个 .env 文件。大家都知道,程序员喜欢把密钥、密码、各种 API Token 放在这里面。要注意,所有文件名和目录名以点开头的,在你列目录的时候是不显示的。这些一般会保留在本地,不上传到云端。

安全研究员搭建诱饵代码仓库,摆放带标记的.env文件、假API密钥和“永远别读我”文件,像布置带记号钞票的捕捉实验,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

在这里面,他还写了一个假的 API 密钥,名字起得特别好,叫“这玩意绝对不能外泄”,写的是英文。他还专门放了一个文件,起名叫“永远别读我”,然后明确指示 AI:不许打开这个文件,不许拿去训练,不许改我任何东西。

叮嘱完以后,他就跟 Grok Build 打了个招呼:“你好啊。”然后 Grok Build 就把整个目录打成了一个压缩包,连“永远别读我”这个文件,包括前面那个绝对不能上传的密钥,统统上传走了。而且上传的地方是 xAI 自己在谷歌云上的一个空间,直接传上去了。

5.1G 对 192KB:上传量达到实际所需的 28000 倍

值得注意的是,它不只是传了干活需要的那几个文件。这位研究员做了一个测算:他的仓库总共是 11.2G,Grok Build 在被他掐断之前,一共传走了 5.1G,而这次任务真正需要的内容只有 192KB。

什么概念?它上传的数据量是干活实际所需信息量的 28000 倍。这已经不是顺手多拿一点的问题了,是真的把你整个家底抄干净的感觉。

更狠的是,这个压缩包里还带有完整的版本历史。大家注意,我们写程序的时候一般会有一个叫 .git 的文件夹,每一次提交的历史实际上都存放在里面。比如说,你有一个版本是带密码的,下一个版本你说:“这个版本不带密码了,我给它覆盖上去。”但是那个带密码的版本实际上还留在里面,就是怕你万一改错了。

现在马斯克是把你整个版本历史一起全都上传了。

隐私模式也挡不住,真正的总闸在云端

关掉隐私模式行不行?有人说:“这个是研究员自己的问题,你不小心引导人家犯错误了。”这个研究员专门试了一下。他先把“用我的数据帮你改进模型”这个开关关掉,没用,照样传。

后来 Grok Build 里出了一个隐私模式,就是输入一个“/privacy”。按道理说,打了这个命令以后,它应该也不上传了,结果发现打完以后还是接着传。

那这玩意是怎么停下来的?研究员发现,这个开关是在云端的。云端有一个开关叫 disable_codebase_upload,就是“禁止代码仓库上传”。这个开关在本地没有,只能在云端控制。把它设成 true,它就不传了。

一台本地电脑上的隐私开关失效,真正的disable_codebase_upload总闸被放在远端云服务器控制台,数据传输管道由云端决定开关,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

也就是说,决定传不传你数据的那个总闸,压根不在你手里,而在人家的云端。他想传就传;他哪天说不传了,就从云端把上传关掉;等下次他又说“我还想再看看”的时候,你也拦不住。

马斯克承诺删除,但承诺已经不够了

马斯克认错了,说:“我全删,一点不剩。”但是问题不在这里。原来大家是信你的人品,可你都已经干出这样的事情来了,已经把我整个代码库都拖走了,而且开关不在我本地,在你云端。现在你说“我把这些东西都给你删了”,你说了我就得信吗?

咱们是不是应该有第三方审计?咱们得看看你到底传了哪些东西,传了多少,传上去干什么了,然后你到底是不是删干净了。你不能自己拍脑袋说一句,大家就都得信。原来可能大家还愿意信,但是在现在这样的时间点,大家还愿意信吗?这个就得留一个问号了。

从 Clean Master 的数据采集说起

后面讲一下老范的本行。我原来是做安全的,特别是做 Clean Master 这些东西。我们原来也传数据。

为什么会传这些东西?因为我们得测试手机上哪个文件删掉以后还能接着跑,哪个文件删掉以后对软件的启动和运行没有影响。这个事我们是要去看的。否则我嘁哩喀喳地在你手机上删东西,Clean 实际上就是删东西,删完以后发现手机起不来了,这个责任我担不起。

所以原来我们也传,但是我们的传法是怎么样的?先在云端下策略,说这次需要什么数据,先做一个筛选。做完筛选以后,再设条件。比如说,你是在美国的,使用哪些手机型号、什么版本。筛选完以后,再去抽样。

比如筛完以后发现有 100 万人符合要求。这个数是不是大了点?不大,因为当时我们有 6 亿月活用户,所以 100 万不算多。然后再抽,抽 10 万人上来,或者抽 1 万人上来。抽完以后,我们就开始传。

而且传的时候还会做一件事,叫 IP 过滤。过滤哪些 IP?比如说,我们知道哪个 IP 地址是谷歌安全实验室的,因为你每一次上传的 App,他们都要先检测一下。碰到这个 IP,你就别传了。另外一些安全公司的实验室 IP,我们遇到以后也不传,大概就是这样。

以前我们都干,但这个活现在已经越来越没法干了。原因很简单,iOS 从来就不让干,因为它的沙箱做得非常严格,每一个应用只能访问自己的数据,其他的数据访问不了。

以前我们在 iOS 上也做清理,但是我们的做法不是删文件,而是写文件,就是拼命往你的 iPhone 里写文件,一直把 iPhone 彻底写满。在这个过程中,iOS 自己会把一些它认为没用的东西删掉。整个写满以后,我们再把偷偷写出来的文件删了。

在安卓系统里,以前是可以看别人的这些文件的,现在也是越来越严了。你现在再想把人家安卓手机上的所有东西都传上来,肯定比较费劲了。

但是这件事我们要讲清楚,不是说我们原来做的就怎么不好。原来做这个事也是为了大家好,为了让大家能够使用到更顺畅的手机,才去做这个动作。现在虽然在 App 里再干这个活不太容易了,但是比如说你买了小米手机、华为手机,他们还是会继续干,只是转到操作系统那一层去做了。

AI 编程工具运行在沙箱较弱的 PC 上

大家要注意,这里面有一个很大的差异。手机操作系统的安全性很高,对于沙箱控制得很严。而今天我们讲的这个东西叫 Grok Build,是在你的 PC 上跑的。不管你是在 Windows、macOS 还是 Linux 操作系统上,这些个人电脑操作系统的沙箱一般做得比较弱。

原因也很简单,因为 PC 要做的事情非常复杂。如果做了一套强沙箱系统,这台 PC 就没法干活了。

所以,我们现在使用的是一个非常强大的工具。这种工具肯定比我们以前的清理工具强大得多,它后面是有 AI 的。这个 AI 工具在一台沙箱控制很弱的 PC 上肆无忌惮地干活,你还要给它全部的权限、全部的信任,就像把电脑送修的过程是一样的。

左侧是沙箱严密的手机系统,右侧是权限敞开的Windows、macOS和Linux个人电脑,强大的AI编程代理在电脑文件中自由行动,形成鲜明安全对比,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

在这个过程中,不管它做过任何承诺,反正最后它还是把你的数据传走了。它干了这么一件事情,这确实比较吓人。

像我们以前装 OpenClaw、装龙虾,为什么一定要单独拿一台电脑出来装?就是为了避免这件事情,因为我们知道这个系统的权限很大。

但是最近,不管是 Codex、Claude Code,还是有些人开始使用的 Grok Build,实在太好用了。前面也没出什么事,那咱们就这么使着呗。结果马上就出事给你看了。

第一类审计:它在你的电脑上做了什么

那怎么办?第一件该做的事情,就是本地数据的审计和防护。

在这一块,原来我们只能相信 AI 厂商的承诺,只能相信这帮老板,比如山姆·奥特曼、达里奥·阿莫迪、马斯克的承诺。我们相信他们的人品,相信他们不会胡干。

因为这个系统实在太复杂了,后面还有 AI 在干活,谁也没有办法完全预测和规范这个系统的行为。现在是不是应该有一个第三方,或者由操作系统这一方来做?微软、谷歌和苹果,你们是不是应该做一些本地的审计系统?

第一个,它到底干什么了?读了哪些文件,写了哪些文件,传了哪些文件,删了哪些文件,你是不是应该看一看?是不是应该做一些防护?

本地AI安全审计面板清晰记录读取、写入、上传和删除四类文件操作,微软、谷歌、苹果与独立审计员共同监督,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

下一个问题,他们的承诺是不是都做到了?像我们原来做 App 的时候,每一个应用会有一个权限列表,就是我要哪些权限、不要哪些权限,是有列表的。我干什么、不干什么,也是有承诺的。这个东西承诺以后,是不是都做到了?还是要有第三方来监督。

你不能说我承诺了,然后偷偷打开云端开关,“咵”一下就传走了。而且我在打开的时候,还专门把一些安全实验室,把谷歌、苹果全都过滤掉,让他们永远发现不了。

像我们那个年代就可以干这个活了,现在后面有 AI,它干这玩意更是让你逮不着。所以需要第三方在每一台电脑上进行防护和安全审计。

第二类审计:AI 账单为什么会闹鬼

光有这个还不够。下一个是什么?付费和计费也得审计,要不然账单里面会闹鬼。

这两天还有一个故事。一个韩国小哥突然收到了 Anthropic 的催账通知,说:“我要扣你 1600 万美元,因为你使用了我的 API,我要扣你的钱。”

1600 万美元,上亿人民币了。那个小哥都疯了,说:“我没有账号,我是免费账号,我也没有使用你的 Token,一点都没用过。”一亿多人民币不是个小数字。

最后,Anthropic 自己负责 Claude Code 的人也出来承认了。他说:“这只是一个反滥用系统反应过度了,我们把这张账单删了就完了。”

但这个事情就这么完了吗?不行吧。因为现在这些 AI Agent,包括这些大的 AI 公司,收费是极其不透明的。这个事情到底应该走套餐,还是应该直接按 Token 计费,它经常说不清楚。

一个 Hermes.md 文件,就可能改变计费方式

以 Anthropic 为例,他们做过实验:如果你的代码里不包含一个叫 Hermes.md 的文件,它就给你走套餐;如果包含这个文件,它就不给你走套餐,要按 Token 单独计费,那就贵多了。

Hermes.md 是哪儿来的?就是你装爱马仕 Hermes Agent 以后,代码库里就会有这个文件。他们认为:“只要有这个文件,你一定是把我的 Claude 大模型、把我的订阅账号拿去养爱马仕了,那我就要按另外一套系统给你收费,不能让你继续按原来的套餐计费。”他们会干这样的事情。

还有,你这次对话到底用了多少 Token,多少输入、多少输出,哪些是推理的,其实我们都说不清楚。

答案被拒绝以后,到底收没收费

它还经常干一个特别恶心的事。你问了一个问题,它吭哧吭哧想了半天,推理了半天,然后开始吐答案。吐到最后的时候,“咵”一下,答案不见了。我相信使用 AI 的人都遇到过这种事情。

这个东西叫拒绝回答。它把答案算完以后说:“我觉得我不能教你做核弹,不能让你做一些可能造成伤害的事情。”

但是这个过程收不收费?理论上说,这个过程应该不收费,因为你没有得到结果。但是到底收没收,谁也说不清楚。

这就像我们去饭馆点菜,点完以后说:“这两个菜上得太慢了,我不要了。”结果最后结账的时候,这两个菜依然躺在账单上。你如果不仔细看,就漏过去了。所以这个事情也很麻烦。

还有,我使用你的 API 以后,缓存命中率是多少?因为缓存命中的价格和缓存没命中的价格差得很远,这些东西都很难计算,太不透明了。

企业已经开始找第三方核查 AI 账单

现在有一个美国的创业公司叫 Vaudit,已经开始帮企业审核这些 AI 账单,然后去找 Anthropic、找这些公司吵架。他们已经审了几千万的 AI 账单,追回了上百万这些公司多收的钱。

原来就是“我多收了就收了,你们差不多就完了”。像刚才咱们讲的韩国小哥,因为他的支付卡上确实没有 1600 万美元,所以拒付了。如果万一它就多收那么一点点,是不是很多人就直接付了?

企业财务人员与第三方审计公司逐项核对AI账单,检查Token输入输出、推理消耗、缓存命中和异常的1600万美元收费,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

包括我自己也是这样。我每个月收到各种各样的 AI 计费短信、邮件,都提心吊胆的。有些是我买的套餐,这个我能知道到底买了哪些东西、怎么用的;还有一些是直接买 Token,比如 xAI、谷歌的 Gemini,我是直接购买它们的 Token。

每个月收到账单的时候,我也很害怕,而且它没有给你提供任何可以对账的地方。

第三类审计:AI 做出的决定由谁负责

第三个事情,现在 AI 的行为和结果也是需要审计的,因为它已经替你做决定了,而且这些决定是跟钱有关的。那么这个事情到底由谁负责?现在其实是说不清楚的。

原来在聊天的时候,他们都很鸡贼,在每一个聊天框最底下加一行很小、很淡的字,上面写着:“我提供的内容不能保证准确,你要自己核实,我不负责任。”

但是现在已经不是聊天了。现在我们用的是 AI Agent,它开始干很多真金白银的工作了。它真的改了你的代码,真的给你出了报表。那么在这种情况下,它对自己的行为负不负责?

死循环烧掉的 Token,该由谁买单

咱们先不说它替你做了一个错误决策,让你亏了多少钱。咱们说一个最简单的:它死循环了,自己吭哧吭哧转不出来了,在这个过程中烧掉的 Token,责任肯定在它。它自己绕不过来,在这里死循环,然后找你收钱,这个钱你该不该付?

这个行为是不是应该有人审计一下?这个循环不必要地消耗了我很多 Token,给我造成了浪费,这些都是真金白银。应该由谁说了算?

原来是 AI 公司说了算,完全都是听它的。其他人没有任何权利对它进行审计,连复核都做不到。它就是一张账单拍在你脸上,你只管付钱就完了。

进入金融领域以后,“不负责任”说不过去

其他的,比如说它真的替你做一些决策。大家要知道,Anthropic 已经开始做金融领域的工作了,那都是跟真金白银有关的。它是会替你做决策的,那亏了钱算谁的?

你不能说:“我都已经替金融人干活了,把金融人的饭碗抢了,他们都失业了。但是我出了结果,我不负责。”这不是开玩笑吗?人家是要签字的,人家是要对自己的结果负责任的。你干了半天却不负责,这肯定也不行,有点过分了。

我们真正需要的是三套独立审计

所以我们需要三个审计。

第一个,这些 AI Agent 在我们的电脑上干什么,我们需要审计。

第二个,这些 AI 公司找我们收钱,我们需要审计。

第三个,这些 AI 公司具体的行为,以及帮我们做的各种决策,也是需要审计的。

你不能说:“只要你收了钱,我替你做了决策,你把原来签字的人给开了,但是现在我不负责任。”这些事情统统都不行。

三层独立AI审计体系,分别检查电脑上的代理行为、AI公司的收费账单以及AI做出的商业和金融决策,三只放大镜围绕AI核心形成监督闭环,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

一个健康的行业,不能建立在老板愿不愿意认错上

最后的结论,就是不能再只信任 AI 公司的承诺和老板的人品了。

我们把这一期的故事从头到尾捋一下。一个安全研究员用一个假环境、几个做了记号的探针,抓到了 Grok Build 在你说了一声“Hello”之后,就把你整个项目打包,包括密码、密钥,一把全都上传了的事情。

而且整个链条下来,从头到尾,我们能依靠的只有“相信”两个字。因为所有的开关都在云端,你在本地控制不了。最后马斯克说:“我给你删了,你信任我就行了。”你也没有办法证实这件事情。

再往后,AI 找你收钱,你也不知道它为什么收这么多,收钱的过程极其不透明。它做了大量的工作,也不对自己的工作结果负责任。这个才是现在最大的问题。

所以老范今天的判断就是一句话:对 AI 行为的审计和防护,必须被提到议事日程上了。
我们需要独立的第三方,去审计它动了什么,审计它收了多少钱,审计它做的决定对不对。这件事不能再托付给 AI 公司的自我承诺,更不能托付给某一个 AI 老板认不认错、人品好不好。

马斯克这回认错了,这是个好事。但是一个健康的行业,不该建立在老板刚好这次愿意认错上面。它应该建立在就算他不认,我们也查得出来这样的保证上。

这就是咱们今天的故事。感谢大家收听,请帮忙点赞、点小铃铛、参加 Discord 讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。


背景图片