.envLa ruta de almacenamiento en segundo plano fue el hallazgo más alarmante. Independientemente de qué archivos abriera el agente, la CLI empaquetaba el repositorio Git completo —incluyendo todo el historial de commits— y lo subía a un bucket de Google Cloud Storage llamado grok-code-session-trace a través de un endpoint POST /v1/save-session. Incluso cuando el investigador le indicó a la herramienta que "solo dijera OK sin leer ningún archivo", igualmente subió el paquete completo del repositorio
.
El investigador de seguridad Hari confirmó esto de forma independiente mediante ingeniería inversa, publicando que Grok Build subía directorios de usuario completos sin permiso explícito . En una prueba con un repositorio de 11.2 GiB, al menos 5.1 GiB de datos fueron capturados saliendo por la ruta de almacenamiento, mientras que la tarea de codificación real solo requería unos 192 KB
. Las subidas contenían el historial Git completo, secretos de
.env y todos los archivos del repositorio, no solo el subconjunto necesario para la tarea .
Elon Musk confirmó el problema públicamente en X, comenzando su respuesta con "True" . Luego prometió: "Como medida de precaución, todos los datos de usuario subidos anteriormente a SpaceXAI serán eliminados completa y absolutamente. No quedará absolutamente nada"
.
xAI emitió un comunicado público diciendo que se toma la privacidad del usuario en serio y señaló que los clientes empresariales que usan Retención de Datos Cero (ZDR) nunca tuvieron su código o datos de entrenamiento utilizados . La compañía también implementó un cambio en el servidor que desactivó el endpoint
/v1/save-session, deteniendo las subidas de repositorios en segundo plano . Las subidas cesaron a partir del 13 de julio de 2026
.
Aunque la respuesta de xAI detuvo la exfiltración activa de datos, varios problemas siguen sin resolverse.
1. La solución fue del lado del servidor, no del cliente. El investigador señaló que el cliente de Grok Build CLI (versión 0.2.93) nunca se actualizó; xAI simplemente apagó el endpoint receptor en sus servidores . Esto significa que el código del cliente aún tiene la capacidad de subir repositorios completos; el comportamiento podría reanudarse si el endpoint se reactiva.
2. La opción de privacidad de xAI no detuvo las subidas. El investigador probó el modo de privacidad o el comando de exclusión voluntaria de retención de datos y descubrió que no prevenía la subida del repositorio completo en segundo plano . El investigador declaró explícitamente: "el comando de privacidad de xAI no fue lo que las solucionó"
. En cambio, un flag oculto en el servidor llamado
disable_codebase_upload se estableció en verdadero .
3. Sin comunicación pública sobre el cambio. xAI desactivó la función de subida sin notificar a los usuarios ni publicar una entrada en el registro de cambios .
4. Sin confirmación de que los datos se eliminaron realmente. Si bien Musk prometió la eliminación, hasta la fecha de los informes publicados no había una verificación independiente de que los datos de usuario subidos anteriormente en el bucket grok-code-session-trace hubieran sido purgados .
5. Los datos que ya se filtraron no se pueden recuperar. Cualquier credencial sensible, código propietario o secreto transmitido antes de la solución ya estaba almacenado en la infraestructura en la nube de xAI . El investigador capturó las subidas y pudo clonar el paquete Git y recuperar archivos que se le había indicado explícitamente al agente que no leyera
.
| Aspecto | Detalle |
|---|---|
| Herramienta afectada | Grok Build CLI versión 0.2.93 |
| Fecha de descubrimiento | 12 de julio de 2026 |
| Qué se subió | Repositorios Git completos, historial de commits, secretos de .env sin ofuscar |
| Destino del almacenamiento | Bucket de Google Cloud Storage (grok-code-session-trace) |
| Investigador | cereblab (independiente); confirmado de forma independiente por Hari |
| Respuesta de Musk | Confirmación pública; promesa de eliminar todos los datos subidos previamente |
| Solución aplicada | Desactivación en el servidor del endpoint /v1/save-session; flag oculto disable_codebase_upload |
| ¿Cliente actualizado? | No |
| ¿Exclusión de privacidad efectiva? | No — las subidas continuaron incluso cuando los usuarios la desactivaban |
| ¿Eliminación de datos verificada? | No hay verificación independiente hasta la fecha de publicación |
El incidente de Grok Build resalta un riesgo creciente para los desarrolladores que usan asistentes de codificación con IA. Muchas de estas herramientas envían código a servidores en la nube para procesarlo, pero el alcance de lo que se transmite y almacena a menudo es opaco. En este caso, la herramienta envió mucho más de lo necesario, y lo hizo incluso cuando los usuarios intentaron explícitamente prevenirlo.
Hasta que xAI publique una actualización del cliente y proporcione una verificación independiente de la eliminación de datos, los desarrolladores que usaron Grok Build deberían asumir que cualquier credencial, código propietario o información sensible presente en sus repositorios pudo haber sido transmitida a la infraestructura en la nube de xAI.