Grok Build estaba subiendo silenciosamente todo tu código a la nube. xAI ya lo ha desactivado.

Investigadores descubrieron que la nueva herramienta de codificación de xAI enviaba mucha más información a sus servidores de la que los usuarios sabían, incluyendo archivos que habían excluido explícitamente y credenciales sensibles.

AI2Day Newsdesk· 3 min read
Full-frame photoreal editorial shot of a developer workstation at night, multiple monitors showing abstract code and an error-tracking dashboard with blurred un
Share

Puntos clave

  • Grok Build, la herramienta de codificación con IA de xAI, estaba subiendo repositorios de código completos a Google Cloud sin consentimiento explícito del usuario, según descubrieron investigadores en mayo de 2025.
  • Las descargas incluían archivos que los usuarios le habían indicado que ignorara, además de secretos que habían sido eliminados previamente del historial del proyecto.
  • A partir del lunes, los servidores de xAI ahora devuelven un indicador que desactiva las cargas de código fuente, y las descargas se han detenido.
  • Elon Musk publicó que todos los datos subidos anteriormente serán "completamente y totalmente eliminados".
  • Un investigador de seguridad independiente describió la retención de datos como "excesiva", señalando que podría exponer código propietario, contraseñas y vulnerabilidades de seguridad.

Grok Build es el asistente de codificación por línea de comandos de xAI, una herramienta de desarrollador que instalas en tu computadora y utilizas para escribir y editar software con ayuda de IA. Investigadores de una empresa llamada Cereblab publicaron hallazgos esta semana mostrando que la herramienta estaba empaquetando carpetas de proyectos completas y enviándolas al almacenamiento en Google Cloud antes de cada interacción con IA.

Eso por sí solo levantó preocupación. Lo que alarmó a los expertos en seguridad fue el detalle: las descargas incluían archivos que los usuarios le habían indicado específicamente que no abriera, y credenciales (contraseñas y claves de acceso) que los desarrolladores ya habían eliminado del historial de su proyecto.

Herramientas similares, incluyendo Claude Code de Anthropic, no recopilan ni mucho menos esta cantidad de datos.

Como fue reportado primero por The Verge AI, el investigador de seguridad independiente Dr. Lukasz Olejnik del King's College London confirmó que la cantidad de datos recopilados era "excesiva". La información potencialmente recogida podría incluir código fuente propietario, detalles sobre debilidades de seguridad en sistemas, datos personales, archivos de configuración de infraestructura y credenciales de acceso.

Para los desarrolladores comunes, esos son exactamente los archivos que nunca querrías que un tercero tuviera.

¿Deberían preocuparse los desarrolladores por los datos ya subidos?

Sí, pero xAI dice que está actuando rápidamente. Elon Musk publicó en X que todos los datos que Grok Build recopiló anteriormente serán "completamente y totalmente eliminados". Las descargas en sí mismas ya se han detenido: Cereblab confirmó que los servidores de xAI ahora envían una señal indicando a la herramienta que no cargue bases de código, y sus pruebas muestran que la transferencia ya no ocurre.

La respuesta pública inicial de xAI dirigió a los usuarios hacia un comando llamado /privacy dentro de la herramienta, sugiriendo que detendría la retención de datos. Cereblab cuestionó esa explicación. El comando /privacy solo activa o desactiva la retención de datos para una única sesión. No fue la solución que realmente detuvo las descargas en masa.

Musk también publicó que "los parámetros de privacidad siempre se respetan", mientras que simultáneamente pedía a los usuarios que permitieran a xAI conservar sus datos para ayudar con la depuración. Esa combinación pareció contradictoria para algunos observadores.

Si has utilizado Grok Build en algún proyecto que contenga contraseñas, claves API (códigos que dan acceso a servicios) o lógica empresarial sensible, trata esas credenciales como potencialmente comprometidas. Renueva los secretos que estaban en esos repositorios. Solo toma minutos y elimina el riesgo por completo.

© 2026 AI2Day