Grok Build verfügte über zwei separate Datenübertragungskanäle, von denen keiner die Daten auf das Nötigste beschränkte.
Der Modell-Anfrage-Pfad funktionierte auf den ersten Blick wie erwartet: Wenn Grok Build eine Datei für eine Aufgabe las, wurden deren Inhalte im Rahmen der Modellanfrage an xAIs Server gesendet. Allerdings tauchten sensible Daten wie API-Keys und Datenbank-Passwörter aus .env-Dateien im Klartext und ohne jegliche Schwärzung auf .
Noch beunruhigender war der Hintergrund-Speicher-Pfad. Unabhängig davon, welche Dateien der Agent tatsächlich öffnete, bündelte die CLI das gesamte Git-Repository – inklusive des vollständigen Commit-Verlaufs – und lud es über einen POST /v1/save-sessiongrok-code-session-trace hoch . Selbst als der Forscher das Tool anwies, „einfach OK zu sagen, ohne Dateien zu lesen“, lud es dennoch das komplette Repository-Paket hoch
.
Der Sicherheitsforscher Hari bestätigte dies unabhängig durch Reverse Engineering und berichtete, dass Grok Build ganze Benutzerverzeichnisse ohne explizite Genehmigung hochlud . In einem Test mit einem 11,2 GiB großen Repository wurden über den Speicherpfad mindestens 5,1 GiB an Daten erfasst, während die eigentliche Codieraufgabe nur etwa 192 KB erforderte
. Die hochgeladenen Daten enthielten den vollständigen Git-Verlauf,
.env-Secrets und alle Repository-Dateien – nicht nur die für die Aufgabe benötigte Teilmenge .
Elon Musk bestätigte das Problem öffentlich auf X und begann seine Antwort mit „True“ . Anschließend versprach er: „Als Vorsichtsmaßnahme werden alle zuvor an SpaceXAI übertragenen Benutzerdaten vollständig und gründlich gelöscht. Es wird absolut nichts mehr übrig sein“
.
xAI gab eine öffentliche Erklärung ab, in der es betonte, dass man die Privatsphäre der Nutzer ernst nehme, und wies darauf hin, dass Unternehmenskunden, die Zero Data Retention (ZDR) nutzen, keine Code- oder Trainingsdaten verwendet hätten . Das Unternehmen implementierte außerdem eine serverseitige Änderung, die den
/v1/save-session-Endpunkt deaktivierte und damit die Hintergrund-Uploads stoppte . Die Uploads sind seit dem 13. Juli 2026 eingestellt
.
Obwohl die Reaktion von xAI die aktive Datenexfiltration stoppte, bleiben mehrere Probleme ungelöst.
1. Der Fix war serverseitig, nicht clientseitig. Der Forscher stellte fest, dass der Grok Build CLI-Client (Version 0.2.93) selbst nie aktualisiert wurde – xAI schaltete lediglich den empfangenden Endpunkt auf seinen Servern ab . Das bedeutet, der Client-Code besitzt weiterhin die Fähigkeit, ganze Repositories hochzuladen; das Verhalten könnte wieder aufgenommen werden, wenn der Endpunkt reaktiviert wird.
2. xAIs Datenschutz-Opt-out stoppte die Uploads nicht. Der Forscher testete den „Privacy-Modus“ bzw. den Befehl zum Opt-out der Datenspeicherung und stellte fest, dass er den Hintergrund-Upload des gesamten Repositories nicht verhinderte . Der Forscher stellte klar: „xAIs Datenschutzbefehl war nicht das, was das Problem behoben hat“
. Stattdessen wurde ein verstecktes serverseitiges Flag namens
disable_codebase_upload auf true gesetzt .
3. Keine öffentliche Kommunikation über die Änderung. xAI deaktivierte die Upload-Funktion, ohne die Nutzer zu informieren oder einen Changelog-Eintrag zu veröffentlichen .
4. Keine Bestätigung, dass Daten tatsächlich gelöscht wurden. Obwohl Musk die Löschung versprach, gab es zum Zeitpunkt der Veröffentlichung der Berichte keine unabhängige Überprüfung, ob die zuvor im Bucket grok-code-session-trace gespeicherten Benutzerdaten tatsächlich gelöscht worden waren .
5. Die bereits durchgesickerten Daten sind nicht zurückrufbar. Alle sensiblen Anmeldeinformationen, proprietären Codes oder Geheimnisse, die vor dem Fix übertragen wurden, waren bereits in der Cloud-Infrastruktur von xAI gespeichert . Der Forscher fing die Uploads ab, konnte das Git-Bundle klonen und Dateien wiederherstellen, die der Agent explizit nicht lesen sollte
.
| Aspekt | Detail |
|---|---|
| Betroffenes Tool | Grok Build CLI Version 0.2.93 |
| Entdeckungsdatum | 12. Juli 2026 |
| Was wurde hochgeladen | Ganze Git-Repositories, vollständiger Commit-Verlauf, ungeschwärzte .env-Secrets |
| Speicherziel | Google Cloud Storage Bucket (grok-code-session-trace) |
| Forscher | cereblab (unabhängig); unabhängig bestätigt durch Hari |
| Musks Reaktion | Öffentliche Bestätigung; Versprechen, alle zuvor hochgeladenen Daten zu löschen |
| Angewendeter Fix | Serverseitige Deaktivierung des /v1/save-session-Endpunkts; verstecktes disable_codebase_upload-Flag |
| Client aktualisiert? | Nein |
| Datenschutz-Opt-out wirksam? | Nein – die Uploads wurden fortgesetzt, selbst wenn Nutzer widersprachen |
| Datenlöschung verifiziert? | Zum Zeitpunkt der Veröffentlichung keine unabhängige Überprüfung |
Der Grok-Build-Vorfall unterstreicht ein wachsendes Risiko für Entwickler, die KI-gestützte Codierassistenten verwenden. Viele dieser Tools senden Code zur Verarbeitung an Cloud-Server, aber der Umfang der übertragenen und gespeicherten Daten ist oft undurchsichtig. In diesem Fall sendete das Tool weit mehr als nötig – und das selbst dann, wenn Nutzer es explizit zu verhindern versuchten.
Bis xAI ein Client-Update veröffentlicht und eine unabhängige Überprüfung der Datenlöschung ermöglicht, sollten Entwickler, die Grok Build verwendet haben, davon ausgehen, dass alle in ihren Repositories vorhandenen Anmeldeinformationen, proprietären Codes oder sensiblen Informationen an die Cloud-Infrastruktur von xAI übertragen worden sein könnten.