.envKanał przechowywania w tle okazał się bardziej niepokojący. Niezależnie od tego, które pliki agent faktycznie otworzył, narzędzie pakowało całe repozytorium Git – wraz z pełną historią commitów – i przesyłało je do zasobnika Google Cloud Storage o nazwie grok-code-session-trace za pomocą endpointu POST /v1/save-session. Nawet gdy badacz kazał narzędziu „po prostu powiedzieć OK bez czytania jakichkolwiek plików”, nadal przesyłało ono cały pakiet repozytorium
.
Badacz bezpieczeństwa Hari niezależnie potwierdził to odkrycie poprzez inżynierię wsteczną, informując, że Grok Build przesyłał całe katalogi użytkownika bez wyraźnej zgody . W jednym z testów z repozytorium o wielkości 11,2 GiB, co najmniej 5,1 GiB danych zostało wychwyconych podczas transmisji przez kanał przechowywania, podczas gdy rzeczywiste zadanie programistyczne wymagało jedynie około 192 KB
. Przesyłane dane zawierały pełną historię Git, sekrety z
.env i wszystkie pliki repozytorium – a nie tylko podzbiór niezbędny do wykonania zadania .
Elon Musk publicznie potwierdził problem na platformie X, rozpoczynając swoją odpowiedź od słowa „True” (Prawda) . Następnie obiecał: „W ramach środka ostrożności wszystkie dane użytkownika przesłane wcześniej do SpaceXAI zostaną całkowicie i gruntownie usunięte. Nie pozostanie absolutnie nic”
.
Firma xAI wydała oświadczenie, w którym stwierdziła, że traktuje prywatność użytkowników poważnie, i zaznaczyła, że klienci korporacyjni korzystający z opcji Zero Data Retention (ZDR) nigdy nie mieli swojego kodu ani danych treningowych użytych . Firma wdrożyła również zmianę po stronie serwera, wyłączając endpoint
/v1/save-session, co zatrzymało przesyłanie repozytoriów w tle . Przesyłanie ustało 13 lipca 2026 r.
.
Mimo że reakcja xAI zatrzymała aktywny wyciek danych, kilka kwestii pozostaje nierozwiązanych.
1. Poprawka dotyczyła serwera, a nie klienta. Badacz zauważył, że sam klient Grok Build CLI (wersja 0.2.93) nigdy nie został zaktualizowany – xAI po prostu wyłączył endpoint odbiorczy na swoich serwerach . Oznacza to, że kod klienta wciąż ma możliwość przesyłania całych repozytoriów; zachowanie to może zostać wznowione, jeśli endpoint zostanie ponownie włączony.
2. Rezygnacja z prywatności w xAI nie zatrzymała przesyłania. Badacz przetestował polecenie rezygnacji z gromadzenia danych („privacy mode” lub opt-out) i stwierdził, że nie zapobiegło ono przesyłaniu całego repozytorium w tle . Badacz wyraźnie stwierdził: „To nie polecenie prywatności xAI rozwiązało problem”
. Zamiast tego, ukryta flaga po stronie serwera o nazwie
disable_codebase_upload została ustawiona na true .
3. Brak publicznej komunikacji na temat zmiany. Firma wyłączyła funkcję przesyłania bez powiadamiania użytkowników i bez wpisu w dzienniku zmian .
4. Brak potwierdzenia faktycznego usunięcia danych. Mimo obietnicy Muska o usunięciu danych, w momencie publikacji raportów nie było niezależnej weryfikacji, że wcześniej przesłane dane użytkowników w zasobniku grok-code-session-trace zostały rzeczywiście usunięte .
5. Dane, które już wyciekły, nie mogą zostać wycofane. Wszelkie poufne poświadczenia, autorskie kody lub tajemnice przesłane przed wprowadzeniem poprawki zostały już zapisane w infrastrukturze chmurowej xAI . Badacz przechwycił transmisje, był w stanie sklonować pakiet Git i odzyskać pliki, których agentowi wyraźnie nakazano nie czytać
.
| Aspekt | Szczegół |
|---|---|
| Dotknięte narzędzie | Grok Build CLI wersja 0.2.93 |
| Data odkrycia | 12 lipca 2026 |
| Co zostało przesłane | Całe repozytoria Git, pełna historia commitów, niezasłonięte sekrety z .env |
| Miejsce przechowywania | Zasobnik Google Cloud Storage (grok-code-session-trace) |
| Badacz | cereblab (niezależny); niezależnie potwierdzone przez Hari |
| Reakcja Muska | Publiczne potwierdzenie; obietnica usunięcia wszystkich wcześniej przesłanych danych |
| Zastosowana poprawka | Wyłączenie endpointu /v1/save-session po stronie serwera; ukryta flaga disable_codebase_upload |
| Klient zaktualizowany? | Nie |
| Rezygnacja z prywatności skuteczna? | Nie – przesyłanie było kontynuowane nawet po rezygnacji użytkowników |
| Usunięcie danych zweryfikowane? | Brak niezależnej weryfikacji w momencie publikacji |
Incydent z narzędziem Grok Build uwypukla rosnące ryzyko dla programistów korzystających z asystentów kodowania opartych na sztucznej inteligencji. Wiele takich narzędzi wysyła kod do chmurowych serwerów w celu przetworzenia, ale zakres przesyłanych i przechowywanych danych jest często nieprzejrzysty. W tym przypadku narzędzie wysyłało znacznie więcej, niż było potrzebne – i robiło to nawet wtedy, gdy użytkownicy wyraźnie próbowali temu zapobiec.
Do czasu, aż xAI wyda aktualizację klienta i zapewni niezależną weryfikację usunięcia danych, programiści, którzy używali narzędzia Grok Build, powinni zakładać, że wszelkie poświadczenia, autorskie kody lub poufne informacje znajdujące się w ich repozytoriach mogły zostać przesłane do infrastruktury chmurowej xAI.