O Grok Build estava a enviar silenciosamente toda a sua base de código para a nuvem. A xAI desligou-o agora.
Investigadores apanharam a nova ferramenta de codificação da xAI a enviar muito mais dados para os seus servidores do que os utilizadores sabiam, incluindo ficheiros que tinham explicitamente excluído e credenciais sensíveis.

Pontos-chave
- O Grok Build, a ferramenta de IA de codificação da xAI, estava a enviar repositórios de código completos para o Google Cloud sem consentimento claro do utilizador, descobriram investigadores em maio de 2025.
- Os envios incluíam ficheiros que os utilizadores tinham dito à ferramenta para ignorar, mais segredos previamente eliminados do histórico do projeto.
- A partir de segunda-feira, os servidores da xAI agora devolvem um sinal que desativa os envios de base de código, e os envios pararam.
- Elon Musk publicou que todos os dados previamente enviados serão "completamente e absolutamente eliminados."
- Um investigador independente de segurança descreveu a retenção de dados como "excessiva", notando que poderia expor código proprietário, palavras-passe e vulnerabilidades de segurança.
O Grok Build é o assistente de codificação da linha de comando da xAI, uma ferramenta de programação que instala no seu computador e usa para escrever e editar software com ajuda de IA. Investigadores de uma empresa chamada Cereblab publicaram descobertas esta semana mostrando que a ferramenta estava a empacotar pastas de projetos inteiros e a enviá-los para o armazenamento do Google Cloud antes de cada interação com IA.
Só isso levantou sobrancelhas. O que alarmou os especialistas em segurança foi o detalhe: os envios incluíam ficheiros que os utilizadores tinham especificamente dito à ferramenta para não abrir, e credenciais (palavras-passe e chaves de acesso) que os programadores já tinham eliminado do histórico do seu projeto.
Ferramentas semelhantes, incluindo o Claude Code da Anthropic, não recolhem quase tantos dados.
Conforme reportado em primeiro lugar pela The Verge AI, o investigador independente de segurança Dr. Lukasz Olejnik do King's College London confirmou que a recolha de dados era "excessiva". A informação potencialmente recolhida poderia incluir código-fonte proprietário, detalhes sobre fraquezas de segurança em sistemas, dados pessoais, ficheiros de configuração da infraestrutura e credenciais de acesso.
Para programadores comuns, esses são exatamente os ficheiros que nunca gostaria que um terceiro tivesse.
Os programadores devem estar preocupados com dados já enviados?
Sim, mas a xAI diz que está a agir rapidamente. Elon Musk publicou na X que todos os dados que o Grok Build recolheu anteriormente serão "completamente e absolutamente eliminados." Os envios já pararam: a Cereblab confirmou que os servidores da xAI agora enviam um sinal dizendo à ferramenta para não enviar bases de código, e os seus testes mostram que a transferência já não ocorre.
A resposta pública inicial da xAI apontou os utilizadores para um comando chamado /privacy dentro da ferramenta, sugerindo que isso pararia a retenção de dados. A Cereblab contestou essa explicação. O comando /privacy apenas alterna a retenção de dados para uma única sessão. Não foi o reparo que efetivamente parou os envios em massa.
Musk também publicou que "as configurações de privacidade são sempre respeitadas," enquanto separadamente pedia aos utilizadores para deixarem a xAI manter os seus dados para ajudar na depuração. Essa combinação pareceu a alguns observadores contraditória.
Se utilizou o Grok Build em qualquer projeto contendo palavras-passe, chaves de API (códigos que dão acesso a serviços) ou lógica de negócio sensível, trate essas credenciais como potencialmente comprometidas. Renove qualquer segredo que estava nesses repositórios. Demora minutos e remove o risco completamente.



