स्वतंत्र सुरक्षा शोधकर्ता @cereblab ने xAI के Grok Build CLI 0.2.93 के वायर लेवल टियरडाउन में पाया कि टूल मॉडल ट्रैफिक (192 KB) की तुलना में 27,800 गुना अधिक डेटा (5.10 GiB) चुपके से Google Cloud Storage पर git बंडल क... API कीज़ और डेटाबेस पासवर्ड सहित .env फाइलों के सीक्रेट्स दोनों डेटा चैनलों के ज़रिए बिना किसी म...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What security flaws were revealed by a wire-level analysis of xAI's Grok Build CLI version 0.2.93. Article summary: Now I have comprehensive source material. Here is the fact-checked answer.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
स्वतंत्र सुरक्षा शोध संगठन Cereblab (@cereblab) के एक शोधकर्ता ने xAI के 'Grok Build' कमांड-लाइन टूल (CLI) के संस्करण 0.2.93 का mitmproxy का उपयोग करके एक विस्तृत वायर-लेवल (नेटवर्क ट्रैफिक) विश्लेषण किया और इसे GitHub Gist पर प्रकाशित किया । इस विश्लेषण में तीन गंभीर सुरक्षा खामियां सामने आईं, जो कंपनी के 'लोकल-फर्स्ट' (डेटा स्थानीय रहेगा) पोजिशनिंग के दावों के बिल्कुल विपरीत हैं और डेवलपर्स की डेटा प्राइवेसी की अपेक्षाओं का उल्लंघन करती हैं।
शोधकर्ता ने डेवलपर की मशीन से डेटा बाहर भेजने के दो पूरी तरह से अलग रास्ते खोजे :
POST /v1/responsesPOST /v1/storagegrok-code-session-traces नामक Google Cloud Storage बकेट पर अपलोड किया गया डेटा के इस असमानुपातिक आकार ने साबित कर दिया कि यह अपलोड एजेंट द्वारा पढ़ी गई फाइलों पर निर्भर नहीं था। एक 12 GB के टेस्ट रिपॉजिटरी पर, स्टोरेज चैनल ने 73 चंक्स (सभी HTTP 200 रिस्पॉन्स के साथ) में 5.10 GiB डेटा ट्रांसफर किया, जबकि मॉडल-टर्न चैनल ने सिर्फ 192 KB डेटा भेजा — यानी लगभग ~27,800 गुना का अंतर । यहां तक कि जब एजेंट को "बस OK कहो, कोई फ़ाइल मत पढ़ो" जैसा सख्त निर्देश दिया गया, तब भी टूल ने पूरे रिपॉजिटरी को git बंडल के रूप में अपलोड कर दिया। कैप्चर किए गए बंडल को क्लोन करने पर एक फ़ाइल (
src/_probe/never_read_canary.txt) और पूरा Git कमिट इतिहास रिकवर हो गया, जिसे पढ़ने से एजेंट को स्पष्ट रूप से मना किया गया था ।
.env फाइलें, जिनमें API कीज़, डेटाबेस पासवर्ड और अन्य क्रेडेंशियल्स होते हैं, दोनों चैनलों के ज़रिए बिना किसी मास्किंग या रिडक्शन के वर्बेटिम (ज्यों का त्यों) ट्रांसमिट की गईं xai-data-collector) के रूप में हुई, जिसमें crates/codegen/xai-data-collector/src/gcs.rs और crates/codegen/xai-grok-shell/src/upload/ जैसे सोर्स पाथ मौजूद थे शोधकर्ता ने 'Improve the model' प्राइवेसी टॉगल का परीक्षण किया और पाया कि यह अपलोड को नहीं रोकता ।
trace_upload_enabled: truedisable_codebase_upload=true नामक एक कॉन्फिग ऑप्शन मौजूद है, लेकिन सर्वर-साइड व्यवहार के साथ इसका संबंध अप्रलेखित (undocumented) है, और शोधकर्ता के परीक्षणों ने दिखाया कि सर्वर ने क्लाइंट-साइड प्राथमिकताओं का सम्मान नहीं किया मूल शोधकर्ता और बाद के विश्लेषणों ने निम्नलिखित उपाय सुझाए हैं :
उन टीमों के लिए तत्काल कार्रवाई जिन्होंने प्राइवेट रिपॉजिटरी पर Grok Build CLI का उपयोग किया:
.env फ़ाइल, कॉन्फ़िगरेशन फ़ाइल, या Grok Build के साथ उपयोग किए गए रिपॉजिटरी के Git इतिहास में मौजूद थे। हो सकता है कि वे grok-code-session-traces GCS बकेट में ट्रांसमिट और स्टोर हो गए हों किसी भी कोडिंग एजेंट के लिए आर्किटेक्चरल उपाय:
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
स्वतंत्र सुरक्षा शोधकर्ता @cereblab ने xAI के Grok Build CLI 0.2.93 के वायर लेवल टियरडाउन में पाया कि टूल मॉडल ट्रैफिक (192 KB) की तुलना में 27,800 गुना अधिक डेटा (5.10 GiB) चुपके से Google Cloud Storage पर git बंडल क...
स्वतंत्र सुरक्षा शोधकर्ता @cereblab ने xAI के Grok Build CLI 0.2.93 के वायर लेवल टियरडाउन में पाया कि टूल मॉडल ट्रैफिक (192 KB) की तुलना में 27,800 गुना अधिक डेटा (5.10 GiB) चुपके से Google Cloud Storage पर git बंडल क... API कीज़ और डेटाबेस पासवर्ड सहित .env फाइलों के सीक्रेट्स दोनों डेटा चैनलों के ज़रिए बिना किसी मास्किंग या रिडक्शन के सीधे ट्रांसमिट किए गए। इसके अलावा, सभी ट्रैक्ड फाइलों के साथ पूरा Git इतिहास (सभी कमिट्स, ब्रांचेज़...
Grok Build की 'Improve the model' प्राइवेसी टॉगल uploads को नहीं रोक पाई; टॉगल बंद करने के बाद भी सर्वर HTTP 200 रिस्पॉन्स के साथ git बंडल चंक्स स्वीकार करता रहा। प्रभावित डेवलपर्स को तुरंत सभी क्रेडेंशियल्स को रोटेट...