O Grok Build estava a enviar silenciosamente toda a sua base de código para a nuvem. A xAI desligou-o agora.

Investigadores apanharam a nova ferramenta de codificação da xAI a enviar muito mais dados para os seus servidores do que os utilizadores sabiam, incluindo ficheiros que tinham explicitamente excluído e credenciais sensíveis.

AI2Day Newsdesk· 3 min read
Full-frame photoreal editorial shot of a developer workstation at night, multiple monitors showing abstract code and an error-tracking dashboard with blurred un
Share

Pontos-chave

  • O Grok Build, a ferramenta de IA de codificação da xAI, estava a enviar repositórios de código completos para o Google Cloud sem consentimento claro do utilizador, descobriram investigadores em maio de 2025.
  • Os envios incluíam ficheiros que os utilizadores tinham dito à ferramenta para ignorar, mais segredos previamente eliminados do histórico do projeto.
  • A partir de segunda-feira, os servidores da xAI agora devolvem um sinal que desativa os envios de base de código, e os envios pararam.
  • Elon Musk publicou que todos os dados previamente enviados serão "completamente e absolutamente eliminados."
  • Um investigador independente de segurança descreveu a retenção de dados como "excessiva", notando que poderia expor código proprietário, palavras-passe e vulnerabilidades de segurança.

O Grok Build é o assistente de codificação da linha de comando da xAI, uma ferramenta de programação que instala no seu computador e usa para escrever e editar software com ajuda de IA. Investigadores de uma empresa chamada Cereblab publicaram descobertas esta semana mostrando que a ferramenta estava a empacotar pastas de projetos inteiros e a enviá-los para o armazenamento do Google Cloud antes de cada interação com IA.

Só isso levantou sobrancelhas. O que alarmou os especialistas em segurança foi o detalhe: os envios incluíam ficheiros que os utilizadores tinham especificamente dito à ferramenta para não abrir, e credenciais (palavras-passe e chaves de acesso) que os programadores já tinham eliminado do histórico do seu projeto.

Ferramentas semelhantes, incluindo o Claude Code da Anthropic, não recolhem quase tantos dados.

Conforme reportado em primeiro lugar pela The Verge AI, o investigador independente de segurança Dr. Lukasz Olejnik do King's College London confirmou que a recolha de dados era "excessiva". A informação potencialmente recolhida poderia incluir código-fonte proprietário, detalhes sobre fraquezas de segurança em sistemas, dados pessoais, ficheiros de configuração da infraestrutura e credenciais de acesso.

Para programadores comuns, esses são exatamente os ficheiros que nunca gostaria que um terceiro tivesse.

Os programadores devem estar preocupados com dados já enviados?

Sim, mas a xAI diz que está a agir rapidamente. Elon Musk publicou na X que todos os dados que o Grok Build recolheu anteriormente serão "completamente e absolutamente eliminados." Os envios já pararam: a Cereblab confirmou que os servidores da xAI agora enviam um sinal dizendo à ferramenta para não enviar bases de código, e os seus testes mostram que a transferência já não ocorre.

A resposta pública inicial da xAI apontou os utilizadores para um comando chamado /privacy dentro da ferramenta, sugerindo que isso pararia a retenção de dados. A Cereblab contestou essa explicação. O comando /privacy apenas alterna a retenção de dados para uma única sessão. Não foi o reparo que efetivamente parou os envios em massa.

Musk também publicou que "as configurações de privacidade são sempre respeitadas," enquanto separadamente pedia aos utilizadores para deixarem a xAI manter os seus dados para ajudar na depuração. Essa combinação pareceu a alguns observadores contraditória.

Se utilizou o Grok Build em qualquer projeto contendo palavras-passe, chaves de API (códigos que dão acesso a serviços) ou lógica de negócio sensível, trate essas credenciais como potencialmente comprometidas. Renove qualquer segredo que estava nesses repositórios. Demora minutos e remove o risco completamente.

© 2026 AI2Day