grok-code-session-tracesМасштаб розбіжності довів, що завантаження не було пов'язане з тим, що агент читав. На тестовому репозиторії об'ємом 12 ГБ канал зберігання передав 5.10 GiB у 73 частинах (усі з HTTP-відповіддю 200), тоді як канал моделі передав лише 192 КБ — співвідношення ~27 800:1 . Навіть із запитом «відповідай OK, не читай жодних файлів» інструмент завантажив весь репозиторій як git-бандл; клонування перехопленого бандлу відновило файл (
src/_probe/never_read_canary.txt), який агенту було явно заборонено відкривати, а також повну історію комітів Git .
.env файли, що містять API-ключі, паролі до баз даних та інші облікові дані, передавалися дослівно, без маскування чи редагування через обидва канали xai-data-collector), вбудований у бінарний файл, з вихідними шляхами на зразок crates/codegen/xai-data-collector/src/gcs.rs та crates/codegen/xai-grok-shell/src/upload/ Дослідник перевірив перемикач конфіденційності «Improve the model» і виявив, що він не зупинив завантаження .
trace_upload_enabled: truedisable_codebase_upload=true, але її зв'язок із поведінкою сервера не задокументований, і тести дослідника показали, що сервер не враховував налаштування клієнта Невідкладні дії для команд, які використовували Grok Build CLI на приватних репозиторіях:
.env файлі, конфігураційному файлі або історії Git у репозиторіях, що використовувалися з Grok Build, оскільки вони могли бути передані та збережені в бакеті grok-code-session-traces GCS Архітектурні заходи безпеки для будь-яких AI-агентів кодування: