Grok Build lud stillschweigend Ihre gesamte Codebasis in die Cloud hoch. xAI hat es jetzt deaktiviert.
Forscher haben entdeckt, dass xAIs neues Coding-Tool deutlich mehr Daten an seine Server sendet als Nutzer wussten – einschließlich Dateien, die sie ausdrücklich ausgeschlossen hatten, und sensible Anmeldedaten.

Wichtigste Punkte
- Grok Build, xAIs KI-Coding-Tool, lud ohne klare Nutzereinwilligung ganze Code-Repositories zu Google Cloud hoch, wie Forscher im Mai 2025 feststellten.
- Die Uploads umfassten Dateien, die Nutzer dem Tool zu ignorieren gesagt hatten, sowie Secrets, die zuvor aus der Projekthistorie gelöscht worden waren.
- Seit Montag geben xAIs Server ein Flag zurück, das Code-Uploads deaktiviert, und die Uploads haben aufgehört.
- Elon Musk postete, dass alle zuvor hochgeladenen Daten „vollständig und restlos gelöscht" werden.
- Ein unabhängiger Sicherheitsforscher beschrieb die Datenspeicherung als „übermäßig" und merkte an, dass dies proprietäre Code, Passwörter und Sicherheitslücken offenlegen könnte.
Grok Build ist xAIs Kommandozeilen-Coding-Assistent, ein Entwicklertool, das Sie auf Ihrem Computer installieren und nutzen, um Software mit KI-Unterstützung zu schreiben und zu bearbeiten. Forscher eines Unternehmens namens Cereblab veröffentlichten diese Woche Ergebnisse, die zeigten, dass das Tool ganze Projektordner paketiert und vor jeder KI-Interaktion zu Google Cloud Storage sendet.
Das allein erregte Aufmerksamkeit. Was Sicherheitsexperten beunruhigte, waren die Details: Die Uploads umfassten Dateien, die Nutzer dem Tool ausdrücklich nicht öffnen sollten, sowie Anmeldedaten (Passwörter und Zugangsschlüssel), die Entwickler bereits aus ihrer Projekthistorie gelöscht hatten.
Ähnliche Tools, einschließlich Anthropics Claude Code, sammeln bei weitem nicht so viele Daten.
Der unabhängige Sicherheitsforscher Dr. Lukasz Olejnik vom King's College London bestätigte, wie zuerst von The Verge AI berichtet, dass die Datenmenge „übermäßig" war. Die potenziell erfassten Informationen könnten proprietären Quellcode, Details zu Sicherheitslücken in Systemen, persönliche Daten, Infrastruktur-Konfigurationsdateien und Anmeldedaten umfassen.
Für alltägliche Entwickler sind das genau die Dateien, die Sie niemals bei Dritten haben möchten.
Sollten sich Entwickler Sorgen um bereits hochgeladene Daten machen?
Ja, aber xAI sagt, dass es schnell handelt. Elon Musk postete auf X, dass alle Daten, die Grok Build zuvor gesammelt hat, „vollständig und restlos gelöscht" werden. Die Uploads selbst haben bereits aufgehört: Cereblab bestätigte, dass xAIs Server jetzt ein Signal senden, das dem Tool sagt, keine Codebases hochzuladen, und ihre Tests zeigen, dass die Übertragung nicht mehr stattfindet.
xAIs erste öffentliche Reaktion verwies Nutzer auf einen Befehl namens /privacy innerhalb des Tools und deutete an, dass dies die Datenspeicherung stoppen würde. Cereblab lehnte diese Erklärung ab. Der Befehl /privacy schaltet die Datenspeicherung nur für eine einzelne Sitzung um. Das war nicht die Lösung, die die Massen-Uploads tatsächlich gestoppt hat.
Musk postete auch, dass „Datenschutzeinstellungen immer respektiert" werden, während er gleichzeitig Nutzer bat, xAI ihre Daten zum Debuggen zu überlassen. Diese Kombination kam manchen Beobachtern widersprüchlich vor.
Wenn Sie Grok Build bei einem Projekt mit Passwörtern, API-Schlüsseln (Codes, die Zugriff auf Services ermöglichen) oder sensible Geschäftslogik verwendet haben, behandeln Sie diese Anmeldedaten als möglicherweise kompromittiert. Wechseln Sie alle Secrets, die sich in diesen Repositories befanden. Das dauert nur wenige Minuten und beseitigt das Risiko vollständig.



