Масштаб расхождения доказывает, что загрузка не была вызвана тем, что прочитал агент. В тесте с репозиторием объёмом 12 ГБ канал хранилища передал 5,10 GiB в 73 частях (все с HTTP 200), тогда как канал модели передал всего 192 КБ — соотношение ~27 800× . Даже после команды «просто ответь ОК, не читай никакие файлы» утилита загрузила весь репозиторий как git-бандл; клонирование перехваченного бандла позволило восстановить файл (
src/_probe/never_read_canary.txt), который агенту было явно запрещено открывать, вместе с полной историей git .
.env, содержащие API-ключи, пароли к базам данных и другие учётные данные, передавались дословно, без маскировки по обоим каналам xai-data-collector), встроенный в бинарный файл, с исходными путями, такими как crates/codegen/xai-data-collector/src/gcs.rs и crates/codegen/xai-grok-shell/src/upload/ Исследователь протестировал переключатель конфиденциальности «Improve the model» (Улучшить модель) и обнаружил, что он не останавливает загрузку .
trace_upload_enabled: truedisable_codebase_upload=true, но её связь с серверным поведением не документирована, и тесты исследователя показали, что сервер не соблюдает настройки клиента Немедленные действия для команд, использовавших Grok Build CLI в частных репозиториях:
.env, конфигурационных файлах или истории git репозиториев, использовавшихся с Grok Build, так как они могли быть переданы и сохранены в корзине GCS grok-code-session-traces Архитектурные меры для любых AI-агентов: