xAI 把 Grok Build 全栈开源:刚被曝偷传完整代码库的 coding agent,如何用 Apache 2.0 救场

今天,xAI 在 GitHub 上以 Apache 2.0 协议公开了自家编程智能体 Grok Build 的完整源码。仓库(github.com/xai-org/grok-build)几天内已经收获 10.7k Star、1.8k Fork,整套 CLI/TUI 与 agent runtime 几乎全部由 Rust(99.6%)写成,与官方二进制同步发布。 这个时间点非常微妙——就在几天前,安全社区刚披露 Grok Build 在读取或处理文件时,会把整份原始内容未做任何脱敏地上传到 xAI 使用的 Google Cloud Storage,有用户报告连 SSH 私钥、密码管理器数据库都被一并打包;其数据保留时长也明显超过 Claude Code、Gemini CLI、OpenAI Codex 等同类工具。Elon Musk 公开承诺将彻底删除此前上传到服务器的所有用户数据。 把闭源工具直接开源,是挽回开发者信任最干脆的做法——任何人都可以进仓库 grep 上传逻辑、审数据流,审计取代公关。xAI 同时附带 SECURITY.md 与清晰的 Rust crate 划分(xai-grok-pager 负责 TUI、xai-grok-shell 负责 agent runtime、xai-grok-tools 负责工具实现、xai-grok-workspace 负责文件系统与 VCS),开发者既能跑 cargo check 快速校验,也能读 Cargo.toml 看清楚依赖闭包。安装一行 `curl -fsSL https://x.ai/cli/install.sh | bash` 即可,headless 模式还能直接接进 CI/CD。 Grok Build 现已切换到 Grok 4.5 提供推理,原生支持 subagent 并行、Plan Mode、MCP server、AGENTS.md,与 Claude Code、Cursor 正面竞争。 闭源阵营把 AI 编程工具变成黑盒,开源阵营则把代码摊给社区审查;这一轮 coding agent 的真正分水岭,不是哪家模型更强,而是哪家愿意先把自己切开。