Baggrundslagringsstien var den mere alarmerende opdagelse. Uafhængigt af hvilke filer agenten faktisk åbnede, pakkede CLI'en hele Git-reposen – inklusive fuld commithistorik – og uploadede den til en Google Cloud Storage-bucket ved navn grok-code-session-trace via et POST /v1/save-session. Selv da forskeren instruerede værktøjet i at "bare sige OK uden at læse nogen filer," uploadede det stadig hele repo-pakken
.
Sikkerhedsforskeren Hari bekræftede uafhængigt dette via reverse engineering og postede, at Grok Build uploadede hele brugerbiblioteker uden udtrykkelig tilladelse . I en test med et 11,2 GiB-stort repo blev mindst 5,1 GiB data opfanget, der forlod systemet via lagringsstien, mens den faktiske kodningsopgave kun krævede omkring 192 KB
. Uploadene indeholdt komplet Git-historik,
.env-hemmeligheder og alle repository-filer – ikke kun det undersæt, der var nødvendigt for kodningsopgaven .
Elon Musk bekræftede problemet offentligt på X og startede sin respons med ordet "True" . Han lovede derefter: "Som en forsigtighedsforanstaltning vil alle brugerdata, der tidligere er uploadet til SpaceXAI, blive fuldstændigt og grundigt slettet. Absolut intet vil forblive"
.
xAI udsendte en offentlig erklæring om, at de tager brugernes privatliv alvorligt, og bemærkede, at virksomhedskunder, der bruger Zero Data Retention (ZDR), aldrig havde fået brugt deres kode eller træningsdata . Virksomheden implementerede også en server-side-ændring, der deaktiverede
/v1/save-session-endepunktet, hvilket stoppede baggrundsuploadene af repositories . Uploadene er ophørt pr. 13. juli 2026
.
Selvom xAIs respons stoppede den aktive dataeksfiltrering, er flere problemer stadig uafklarede.
1. Rettelsen var server-side, ikke client-side. Forskeren bemærkede, at Grok Build CLI-klienten (version 0.2.93) selv aldrig blev opdateret – xAI slukkede blot for det modtagende endepunkt på sine servere . Det betyder, at klientkoden stadig har evnen til at uploade hele repositories; adfærden kan genoptages, hvis endepunktet genaktiveres.
2. xAIs privacy-fravalg stoppede ikke uploadene. Forskeren testede "privacy mode" eller dataretentions-fravalgskommandoen og fandt, at den ikke forhindrede baggrundsuploaden af hele reposen . Forskeren udtalte eksplicit: "xAIs privacy-kommando var ikke det, der fiksede dem"
. I stedet blev et skjult server-side-flag kaldet
disable_codebase_upload sat til true .
3. Ingen offentlig kommunikation om ændringen. xAI deaktiverede upload-funktionen uden at underrette brugerne eller udsende en changelog-post .
4. Ingen bekræftelse af, at data faktisk blev slettet. Selvom Musk lovede sletning, var der på tidspunktet for de offentliggjorte rapporter ingen uafhængig verifikation af, at tidligere uploadede brugerdata i grok-code-session-trace-bucket'en var blevet renset .
5. De data, der allerede er lækket, kan ikke tilbagekaldes. Eventuelle følsomme legitimationsoplysninger, proprietær kode eller hemmeligheder, der blev transmitteret før rettelsen, blev allerede gemt på xAIs skyinfrastruktur . Forskeren opfangede uploads og var i stand til at klone Git-pakken og gendanne filer, som agenten eksplicit var blevet bedt om ikke at læse
.
| Aspekt | Detalje |
|---|---|
| Påvirket værktøj | Grok Build CLI version 0.2.93 |
| Dato opdaget | 12. juli 2026 |
| Hvad blev uploadet | Hele Git-repos, fuld commithistorik, ufiltrerede .env-hemmeligheder |
| Lagringsdestination | Google Cloud Storage-bucket (grok-code-session-trace) |
| Forsker | cereblab (uafhængig); uafhængigt bekræftet af Hari |
| Musks respons | Offentlig bekræftelse; løfte om at slette alle tidligere uploadede data |
| Anvendt rettelse | Server-side-deaktivering af /v1/save-session-endepunkt; skjult disable_codebase_upload-flag |
| Klient opdateret? | Nej |
| Privacy-fravalg effektivt? | Nej – uploadene fortsatte, selv når brugere fravalgte |
| Datasletning verificeret? | Ingen uafhængig verifikation pr. offentliggørelse |
Grok Build-hændelsen fremhæver en voksende risiko for udviklere, der bruger AI-drevne kodningsassistenter. Mange sådanne værktøjer sender kode til skyservere til behandling, men omfanget af, hvad der transmitteres og gemmes, er ofte uigennemsigtigt. I dette tilfælde sendte værktøjet langt mere end nødvendigt – og det gjorde det, selv når brugere eksplicit forsøgte at forhindre det.
Indtil xAI udgiver en klientopdatering og tilbyder uafhængig verifikation af datasletning, bør udviklere, der har brugt Grok Build, antage, at eventuelle legitimationsoplysninger, proprietær kode eller følsomme oplysninger, der findes i deres repositories, kan være blevet transmitteret til xAIs skyinfrastruktur.