Grok Build ने चुपचाप आपके पूरे कोडबेस को क्लाउड पर अपलोड कर रहा था। xAI ने अब इसे बंद कर दिया है।
शोधकर्ताओं ने पाया कि xAI के नए कोडिंग टूल ने उपयोगकर्ताओं को ज्ञात होने की तुलना में कहीं अधिक डेटा अपने सर्वर पर भेजा, जिसमें ऐसी फाइलें भी शामिल थीं जिन्हें उपयोगकर्ताओं ने स्पष्ट रूप से बाहर रखा था और संवेदनशील क्रेडेंशियल भी।

मुख्य बातें
- Grok Build, xAI का AI कोडिंग टूल, मई 2025 में बिना स्पष्ट उपयोगकर्ता सहमति के पूरे कोड रिपॉजिटरी को Google Cloud पर अपलोड कर रहा था, शोधकर्ताओं ने पाया।
- अपलोड में वे फाइलें शामिल थीं जिन्हें उपयोगकर्ताओं ने टूल को अनदेखा करने के लिए कहा था, साथ ही प्रोजेक्ट हिस्ट्री से पहले हटाए गए सीक्रेट भी।
- सोमवार तक, xAI के सर्वर अब एक फ्लैग लौटाते हैं जो कोडबेस अपलोड को अक्षम करता है, और अपलोड बंद हो गए हैं।
- एलोन मस्क ने पोस्ट किया कि सभी पहले अपलोड किए गए डेटा को "पूरी तरह से और बिल्कुल हटाया जाएगा।"
- एक स्वतंत्र सुरक्षा शोधकर्ता ने डेटा प्रतिधारण को "अत्यधिक" बताया, यह नोट करते हुए कि यह मालिकाना कोड, पासवर्ड और सुरक्षा कमजोरियों को उजागर कर सकता है।
Grok Build xAI का कमांड-लाइन कोडिंग सहायक है, एक डेवलपर टूल जो आप अपने कंप्यूटर पर इंस्टॉल करते हैं और AI सहायता के साथ सॉफ्टवेयर लिखने और संपादित करने के लिए उपयोग करते हैं। Cereblab नामक फर्म के शोधकर्ताओं ने इस सप्ताह निष्कर्ष प्रकाशित किए जो दिखाते हैं कि टूल पूरे प्रोजेक्ट फोल्डर को पैकेज कर रहा था और प्रत्येक AI इंटरैक्शन से पहले Google Cloud स्टोरेज पर भेज रहा था।
यह अकेले ही संदेह जगाता है। सुरक्षा विशेषज्ञों को जो चिंता हुई वह विवरण था: अपलोड में वह फाइलें शामिल थीं जिन्हें उपयोगकर्ताओं ने विशेष रूप से टूल को खोलने के लिए नहीं कहा था, और क्रेडेंशियल (पासवर्ड और एक्सेस कुंजी) जिन्हें डेवलपर्स ने पहले ही अपनी प्रोजेक्ट हिस्ट्री से हटा दिया था।
इसी तरह के टूल, जिनमें Anthropic के Claude Code भी शामिल हैं, इतना अधिक डेटा एकत्र नहीं करते।
The Verge AI द्वारा पहली बार रिपोर्ट किए गए, किंग्स कॉलेज लंदन के स्वतंत्र सुरक्षा शोधकर्ता डॉ. लुकाज़ ओलेजनिक ने पुष्टि की कि डेटा हॉल "अत्यधिक" था। एकत्र की गई जानकारी में मालिकाना स्रोत कोड, सिस्टम में सुरक्षा कमजोरियों का विवरण, व्यक्तिगत डेटा, बुनियादी ढांचा कॉन्फ़िगरेशन फाइलें और लॉगिन क्रेडेंशियल शामिल हो सकते हैं।
रोजमर्रा के डेवलपर्स के लिए, ये बिल्कुल वे फाइलें हैं जिन्हें आप कभी भी किसी तीसरे पक्ष के पास नहीं रखना चाहेंगे।
क्या डेवलपर्स को पहले से अपलोड किए गए डेटा के बारे में चिंता करनी चाहिए?
हां, लेकिन xAI कहता है कि यह तेजी से कार्य कर रहा है। एलोन मस्क ने X पर पोस्ट किया कि Grok Build द्वारा पहले एकत्र किया गया सभी डेटा "पूरी तरह से और बिल्कुल हटाया जाएगा।" अपलोड खुद ही बंद हो गए हैं: Cereblab ने पुष्टि की कि xAI के सर्वर अब एक सिग्नल भेजते हैं जो टूल को कोडबेस अपलोड नहीं करने के लिए कहता है, और उनके परीक्षणों से पता चलता है कि ट्रांसफर अब नहीं होता है।
xAI की प्रारंभिक सार्वजनिक प्रतिक्रिया ने उपयोगकर्ताओं को टूल के अंदर /privacy नामक कमांड की ओर निर्देशित किया, जिससे पता चलता है कि यह डेटा प्रतिधारण को रोक देगा। Cereblab ने उस व्याख्या पर आपत्ति जताई। /privacy कमांड केवल एकल सत्र के लिए डेटा प्रतिधारण को टॉगल करता है। यह वह समाधान नहीं था जिसने वास्तव में बड़े अपलोड को रोका।
मस्क ने यह भी पोस्ट किया कि "गोपनीयता सेटिंग हमेशा सम्मानित की जाती हैं," जबकि अलग से उपयोगकर्ताओं को अपने डेटा को xAI के पास रखने के लिए कहा। यह संयोजन कुछ पर्यवेक्षकों को विरोधाभासी लगा।
यदि आपने Grok Build का उपयोग किसी भी प्रोजेक्ट पर किया है जिसमें पासवर्ड, API कुंजी (कोड जो सेवाओं तक पहुंच देते हैं), या संवेदनशील व्यावसायिक तर्क हैं, तो उन क्रेडेंशियल को संभावित रूप से समझौता किए गए के रूप में मानें। उन रिपॉजिटरी में जो भी सीक्रेट थे उन्हें घुमाएं। इसमें कुछ मिनट लगते हैं और जोखिम को पूरी तरह दूर कर देता है।



