Grok Build тихо завантажував весь ваш кодовий базис у хмару. xAI це вже вимкнула.

Дослідники виявили, що новий інструмент кодування xAI відправляв на свої сервери значно більше даних, ніж користувачі знали, включаючи файли, які вони явно виключили, та конфіденційні креденшали.

AI2Day Newsdesk· 3 min read
Full-frame photoreal editorial shot of a developer workstation at night, multiple monitors showing abstract code and an error-tracking dashboard with blurred un
Share

Ключові моменти

  • Grok Build, інструмент штучного інтелекту xAI для кодування, без явної згоди користувачів завантажував повні репозиторії коду на Google Cloud, як виявили дослідники в травні 2025 року.
  • Завантаження включали файли, які користувачі наказали інструменту ігнорувати, а також секрети, раніше видалені з історії проекту.
  • З понеділка сервери xAI повертають флаг, який вимикає завантаження кодової бази, і завантаження припинилися.
  • Ілон Маськ опублікував, що всі раніше завантажені дані будуть «повністю й остаточно видалені».
  • Незалежний дослідник безпеки назвав збереження даних «надмірним», зазначивши, що воно може розкрити власницький код, паролі та вразливості безпеки.

Grok Build — це асистент командного рядка xAI для кодування, інструмент розробника, який ви встановлюєте на комп'ютер і використовуєте для написання та редагування програмного забезпечення за допомогою штучного інтелекту. Дослідники з компанії Cereblab на цьому тижні опублікували результати, що показують, як інструмент упаковував цілі папки проектів і відправляв їх на сховище Google Cloud перед кожною взаємодією зі штучним інтелектом.

Саме це викликало питання. Те, що лякало експертів з безпеки, — це деталь: завантаження включали файли, які користувачі спеціально наказали інструменту не відкривати, а також креденшали (паролі та ключі доступу), які розробники вже видалили з історії свого проекту.

Подібні інструменти, включаючи Claude Code від Anthropic, збирають набагато менше даних.

Як уперше повідомив The Verge AI, незалежний дослідник безпеки др. Лукаш Олейнік із Кінгсвудського коледжу Лондона підтвердив, що обсяг зібраних даних був «надмірним». Інформація, яка могла бути зібрана, могла включати власницький вихідний код, деталі про слабкі місця безпеки в системах, персональні дані, конфігураційні файли інфраструктури та креденшали входу.

Для звичайних розробників це саме ті файли, які ви ніколи не хотіли б мати у третьої сторони.

Чи мають розробники хвилюватися щодо даних, які вже завантажені?

Так, але xAI каже, що діє швидко. Ілон Маськ опублікував на X, що всі дані, які раніше зібрала Grok Build, будуть «повністю й остаточно видалені». Саме завантаження вже припинилися: Cereblab підтвердила, що сервери xAI тепер відправляють сигнал, який наказує інструменту не завантажувати кодові бази, і їхні тести показують, що передача більше не відбувається.

Початкова публічна відповідь xAI спрямувала користувачів на команду /privacy всередині інструменту, припускаючи, що вона зупинить збереження даних. Cereblab заперечила цю пояснення. Команда /privacy лише перемикає збереження даних для одного сеансу. Це не було виправленням, яке насправді зупинило масові завантаження.

Маськ також опублікував, що «параметри конфіденційності завжди дотримуються», одночасно просячи користувачів дозволити xAI зберігати їхні дані для допомоги в налагодженні. Ця комбінація здалася деяким спостерігачам суперечливою.

Якщо ви використовували Grok Build у проекті, що містить паролі, ключі API (коди, які дають доступ до сервісів) або конфіденційну бізнес-логіку, вважайте ці креденшали потенційно скомпрометованими. Оновіть будь-які секрети, які були в цих репозиторіях. Це займе кілька хвилин і повністю усуває ризик.

© 2026 AI2Day