币须知道据动察 Beating 监测,Y Combinator 推出免费 AI 编码分析工具 Paxel,宣称代码「永远不会离开你的机器」。但发布数小时后,安全社区通过逆向分析拆穿了「本地运行」的虚假宣传。
逆向分析显示,Paxel 实际上频繁向外部发送敏感数据。开发者读取的文件内容、修改的代码、粘贴在输入框的提示词,都会被上传到大语言模型代理端。本地文件路径、终端运行的 Bash 命令,以及本地 Git 配置中的用户名和邮箱,同样会被传输给 Y Combinator 服务器。Sentry 错误监控默认开启,持续向外发送本地代码行数和 Git 提交历史。
开发者社区普遍嘲讽所谓的本地分析无异于锁紧房门后再将钥匙寄给第三方,并批评本地化宣传是货真价实的「隐私洗白」。
