事件概述
Y Combinator 近日发布了一款名为 Paxel 的免费 AI 编码分析工具,官方宣传强调其「本地运行」特性,承诺用户的代码「永远不会离开你的机器」。然而该工具上线数小时之内,便被安全社区通过逆向工程拆穿,所谓的本地化只是宣传话术,实际行为与说法严重不符。
逆向分析发现
根据安全研究人员在社交平台上的披露(原始链接见文末),对 Paxel 客户端进行逆向分析后,可以看到以下数据外传行为:
- 代码与提示词外发:开发者在编辑器中读取的文件内容、对代码做出的修改、以及粘贴在输入框中的提示词,都会被发送到外部的大语言模型代理端,由第三方模型进行处理。
- 本地环境信息泄露:本地文件的完整路径、终端中执行的 Bash 命令,以及本地 Git 配置中保存的用户名和邮箱,都会被回传给 Y Combinator 的服务器。
- 遥测默认开启:工具内置的 Sentry 错误监控系统为默认开启状态,会持续向 Sentry 上报本地的代码行数、最近的 Git 提交历史等元数据。
社区反应
开发者社区普遍以嘲讽回应这一事件。一种广为流传的比喻是:所谓「本地 AI 分析」无异于「把自家房门锁紧,再把钥匙寄给第三方」。批评者认为,把数据持续外发到云端、再用「本地运行」做营销包装,是典型的「隐私洗白」(privacy washing)行为。
几点值得注意
- 「本地」≠「离线」:工具可以在本机启动、可被本地使用,但并不意味着数据流向了本机。像 LLM 推理代理、错误监控、用户遥测这三条链路一旦启用,本地化承诺就会被实质性瓦解。
- 默认开关至关重要:Sentry 等监控是否默认开启、关闭入口是否埋在多层菜单中,决定了真实的数据暴露面。
- 敏感字段一并带走:路径、命令、Git author 邮箱这类元数据虽不直接等于源代码,但足以定位开发者身份、本地工作目录结构与开发习惯,属于高敏感的旁路泄露。
尚待核实
截至本文发稿,本次披露主要来自 X 上一条独立爆料帖,尚未检索到 Y Combinator 或 Paxel 团队的官方回应,也未在主流科技媒体上看到对这一工具及其数据行为的独立报道;本文所述行为以上述爆料中的逆向分析描述为准,建议读者在 YC 与 Paxel 团队公开技术说明或独立安全审计出现前,谨慎对待该工具,或在网络隔离环境、关闭遥测后再行评估。