核心摘要
Y Combinator 近日推出免费 AI 编码分析工具 Paxel,并宣称代码“永远不会离开你的机器”。不过,工具发布数小时后,安全社区通过逆向分析质疑其“本地运行”说法,认为 Paxel 实际存在向外部传输敏感开发数据的行为。
正文解读
逆向分析显示,Paxel 会频繁向外部发送与开发过程相关的信息。包括开发者读取的文件内容、修改过的代码,以及粘贴到输入框中的提示词,都会被上传至大语言模型代理端。
此外,本地文件路径、终端中运行的 Bash 命令,以及本地 Git 配置中的用户名和邮箱,也被发现会传输至 Y Combinator 服务器。与此同时,Sentry 错误监控默认开启,并持续向外发送本地代码行数和 Git 提交历史等信息。
这一发现引发开发者社区广泛讨论。部分开发者嘲讽称,所谓本地分析就像“锁紧房门后再将钥匙寄给第三方”,并批评此类本地化宣传属于“隐私洗白”,可能误导用户对数据安全边界的判断。
要点
- Paxel 被宣传为本地运行的 AI 编码分析工具。
- 逆向分析显示其会上传多类开发者敏感数据。
- 开发者社区对其隐私承诺提出强烈质疑。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/186784/
