Инструмент Grok Build компании xAI выгружал весь код пользователей в Google Cloud
Исследователи из Cereblab обнаружили, что Grok Build, CLI-инструмент xAI для написания кода, загружал в Google Cloud целые репозитории пользователей, включая файлы, которые инструменту явно запрещали открывать, и секретные данные, ранее удалённые из истории. По оценке Cereblab, это заметно больше, чем сохраняют похожие инструменты, например Claude Code. О находке написал The Register; свои выводы Cereblab опубликовала в понедельник, после чего xAI отключила функцию загрузки кода.
Дальнейшие проверки показали: серверы xAI теперь возвращают флаг disable_codebase_upload: true, и выгрузка кодовой базы больше не срабатывает, отключение подтверждено техническим тестом, а не только заявлениями компании.
Илон Маск отреагировал постом в X, пообещав, что все ранее загруженные данные будут «полностью и окончательно удалены». В другом посте он утверждал, что настройки приватности «всегда соблюдаются», но при этом попросил пользователей разрешить xAI сохранять их данные, назвав это «полезным для отладки проблем», то есть одновременно обещал удаление и просил разрешения на хранение.
Независимый исследователь безопасности Лукаш Олейник из Королевского колледжа Лондона подтвердил The Verge, что такой объём хранения данных «избыточен». По его словам, под угрозой могли оказаться закрытый исходный код, сведения об уязвимостях, персональные данные, детали инфраструктуры и учётные данные.
Изначально xAI объясняла произошедшее тем, что при отключённой функции нулевого хранения данных в CLI доступна команда /privacy, которая отключает хранение и удаляет уже синхронизированные копии. Но в Cereblab это опровергли: /privacy, это переключатель хранения данных для одной сессии, а не тот выключатель, который реально устранил проблему, так что его не стоит выдавать за решение.
Ключевые факты
- Grok Build, CLI-инструмент xAI для кодинга, загружал в Google Cloud целые репозитории пользователей, включая файлы, которые ему запрещали открывать, и уже удалённые секреты.
- По данным Cereblab, это заметно больше данных, чем сохраняют похожие инструменты вроде Claude Code.
- После публикации The Register xAI отключила загрузку кода; тесты подтвердили флаг disable_codebase_upload: true и то, что выгрузка больше не срабатывает.
- Илон Маск пообещал полностью удалить все ранее загруженные данные, но при этом попросил пользователей разрешить xAI сохранять их данные «для отладки».
- Независимый эксперт Лукаш Олейник (Королевский колледж Лондона) назвал объём хранения избыточным: под риском, исходный код, данные об уязвимостях, личные данные, инфраструктура и учётные данные.
Почему это важно
История показывает, что при широком доступе ИИ-инструмента к коду можно неожиданно отдать вендору весь репозиторий целиком, включая то, что явно просили не трогать, и уже удалённые секреты. Для рынка кодинг-агентов это тревожный прецедент: доверие к таким инструментам строится на обещаниях по хранению данных, а Grok Build, по данным исследователей, хранил заметно больше, чем конкурент Claude Code. Инцидент поднимает вопрос, насколько тщательно вендоры агентных ИИ-инструментов проверяют и документируют, что именно их CLI отправляет на сервер.
Кому это важно
В первую очередь, разработчикам и компаниям, уже подключившим Grok Build к своим репозиториям: часть их кода могла оказаться в облаке xAI без явного согласия. Также это важно для служб безопасности и комплаенс-команд, которые оценивают ИИ-инструменты для кодинга по тому, как те хранят данные, и для всех, кто выбирает между Grok Build, Claude Code и аналогами, инцидент меняет расчёт рисков.
Как это применить
Если вы пользовались Grok Build, исходите из того, что часть кода и секретов могла быть загружена в Google Cloud, и требуйте от xAI подтверждения удаления, а не полагайтесь только на публичные заявления Маска. Команда /privacy в CLI отключает хранение данных лишь для текущей сессии и не удаляет то, что было синхронизировано раньше, для этого нужно отдельно требовать удаления данных. При выборе агента для кодинга имеет смысл заранее спрашивать вендора о правилах и сроках хранения данных и о том, распространяются ли они на файлы, которые явно исключены из области видимости инструмента.
Можно ли доверять
Источник, The Verge со ссылкой на материал The Register и опубликованные данные Cereblab; факт отключения функции подтверждён техническим тестом (флаг disable_codebase_upload: true), а не только словами компании. Независимый эксперт по безопасности Лукаш Олейник из Королевского колледжа Лондона отдельно подтвердил, что такой объём хранения данных избыточен. При этом сама xAI объясняла исправление через команду /privacy, и Cereblab прямо указали, что это объяснение вводит в заблуждение: /privacy отключает хранение только для одной сессии и не является тем механизмом, который остановил выгрузку. Это повод не принимать официальные комментарии xAI на веру без независимой проверки.
Риски и подводные камни
Даже после отключения функции остаётся риск, что уже загруженные данные, включая учётные данные, сведения об уязвимостях и закрытый код, где-то сохранены: обещание Маска о «полном и окончательном» удалении прозвучало только в посте в X и не подкреплено независимым аудитом. Отдельная проблема, путаница вокруг приватности: xAI одновременно обещает удаление ранее собранных данных и просит пользователей разрешить их хранение «для отладки», из-за чего пользователю сложно понять, что на самом деле происходит с его кодом и секретами.
«/privacy, это переключатель хранения данных для одной сессии, а не тот выключатель, который реально устранил проблему, так что его не стоит выдавать за решение.»
— Cereblab, в ответ на объяснение xAI