据 Beating 称,Y Combinator 发布了 Paxel,一款免费的 AI 代码分析工具,声称代码“从不离开你的机器”。上线数小时后,安全研究人员对该工具进行了逆向工程,并揭露该说法是虚假的。分析显示 Paxel 经常传输敏感数据:文件内容、代码修改、提示输入、本地文件路径、Bash 命令和 Git 凭据被发送到 YC 服务器。Sentry 错误监控也默认开启,持续向外部传输代码行数和 Git 提交历史。该发现与 Paxel 的本地运行保证相矛盾。