このアップロードが、エージェントが実際に読み取ったファイルに基づくものではないことは、データ量の桁違いの差が証明しています。12 GBのテストリポジトリを用いた実験では、ストレージチャネルが73個のチャンク(全てHTTP 200応答)で5.10 GiBものデータを転送したのに対し、モデルターンチャネルが転送したのはわずか192 KBでした。その比率は実に約27,800倍にも上ります。さらに深刻なのは、「OKとだけ返答し、いかなるファイルも読むな」とプロンプトで明示的に指示した場合でも、ツールはリポジトリ全体をgit bundleとしてアップロードしたことです。キャプチャしたbundleをクローンすると、エージェントに「開くな」と明示されたファイル(
src/_probe/never_read_canary.txt)と、完全なGitコミット履歴が復元されました。
xai-data-collector)であることが特定されました。ソースコードのパスとして、crates/codegen/xai-data-collector/src/gcs.rsやcrates/codegen/xai-grok-shell/src/upload/といったパスが確認されていますプライベートリポジトリでGrok Build CLIを使用したチームが直ちに取るべき行動:
.envファイル、設定ファイル、またはGit履歴に存在したあらゆる認証情報は、grok-code-session-traces GCSバケットに送信・保存された可能性があるため、速やかに変更してくださいあらゆるコードエージェントに対するアーキテクチャ上の対策: