Grok Build тихо загружал весь ваш исходный код в облако. xAI отключил эту функцию.
Исследователи обнаружили, что новый инструмент кодирования xAI отправлял на серверы компании гораздо больше данных, чем знали пользователи, включая файлы, которые они явно исключили, и конфиденциальные учётные данные.

Ключевые моменты
- Grok Build, инструмент кодирования на ИИ от xAI, загружал целые репозитории кода в Google Cloud без явного согласия пользователей, как выяснили исследователи в мае 2025 года.
- Загружаемые данные включали файлы, которые пользователи попросили инструмент игнорировать, а также секреты, которые ранее были удалены из истории проекта.
- С понедельника серверы xAI возвращают флаг, который отключает загрузку баз кода, и загрузки прекратились.
- Илон Маск заявил, что все ранее загруженные данные будут «полностью и без остатка удалены».
- Независимый исследователь в области безопасности охарактеризовал сохранение данных как «чрезмерное», отметив, что это может раскрыть проприетарный код, пароли и уязвимости безопасности.
Grok Build — это помощник по кодированию в командной строке от xAI, инструмент для разработчиков, который вы устанавливаете на компьютер и используете для написания и редактирования программного обеспечения с помощью ИИ. На этой неделе исследователи из компании Cereblab опубликовали результаты, показывающие, что инструмент упаковывал целые папки проектов и отправлял их в хранилище Google Cloud перед каждым взаимодействием с ИИ.
Уже это вызвало недоумение. Эксперты по безопасности были встревожены деталями: загруженные данные включали файлы, которые пользователи специально попросили инструмент не открывать, и учётные данные (пароли и ключи доступа), которые разработчики уже удалили из истории проекта.
Похожие инструменты, включая Claude Code от Anthropic, собирают гораздо меньше данных.
Как сообщил The Verge AI, независимый исследователь в области безопасности д-р Лукаш Олейник из King's College London подтвердил, что объём собранных данных был «чрезмерным». Потенциально собранная информация могла включать проприетарный исходный код, сведения об уязвимостях безопасности в системах, личные данные, файлы конфигурации инфраструктуры и учётные данные для входа.
Для обычных разработчиков это именно те файлы, которые вы никогда не захотите, чтобы третья сторона хранила.
Должны ли разработчики волноваться о уже загруженных данных?
Да, но xAI говорит, что действует быстро. Илон Маск опубликовал в X, что все данные, которые Grok Build ранее собрал, будут «полностью и без остатка удалены». Сами загрузки уже прекратились: Cereblab подтвердил, что серверы xAI теперь отправляют сигнал инструменту не загружать базы кода, и их тесты показывают, что передача больше не происходит.
Первоначальный публичный ответ xAI указывал пользователям на команду /privacy внутри инструмента, предполагая, что это остановит сохранение данных. Cereblab оспорил это объяснение. Команда /privacy только переключает сохранение данных для одного сеанса. Это не было исправлением, которое фактически остановило массовые загрузки.
Маск также заявил, что «настройки конфиденциальности всегда соблюдаются», при этом одновременно попросив пользователей разрешить xAI хранить их данные для отладки. Это сочетание показалось некоторым наблюдателям противоречивым.
Если вы использовали Grok Build для любого проекта, содержащего пароли, ключи API (коды, дающие доступ к сервисам) или конфиденциальную бизнес-логику, считайте эти учётные данные потенциально скомпрометированными. Измените все секреты, которые находились в этих репозиториях. Это займёт несколько минут и полностью устранит риск.



