Groks kodverktyg laddade upp hela användares kodbaser till molnet

The Verge AI

xAI:s kodverktyg Grok Build laddade i smyg upp användares hela kodbaser – inklusive filer och hemligheter man bett det ignorera – till Google Cloud, vilket är betydligt mer data än vad liknande verktyg som Claude Code samlar in. Forskare från Cereblab avslöjade det hela, och xAI stängde snabbt av funktionen. Det intressanta är inte bara att det hände, utan att det tydligen var aktivt som standard utan att användarna visste om det.

Djupdykning

Grok Build, xAIs kodverktyg som körs via CLI (ett kommandoradsbaserat gränssnitt), visade sig ladda upp hela kodbaser till Google Cloud i bakgrunden – inklusive filer verktyget explicit blivit tillsagt att ignorera och hemligheter som användarna raderat ur historiken. Det är inte bara en integritetsbugg, det är exakt det beteende som IT-säkerhetsavdelningar varnar för när de förbjuder AI-verktyg i produktionsmiljöer. Cereblab, forskarna som hittade problemet, behövde inte gräva särskilt djupt – beteendet var observerbart och dokumenterbart, vilket tyder på att det varken var dolt eller avsiktligt begränsat. xAI stängde av funktionen snabbt när det uppmärksammades, men "vi fixade det när någon såg oss" är inte precis det förtroendekapital man vill bygga på. För dig som jobbar med sociala medier eller content är detta kanske inte direkt relevant – men många team använder AI-kodverktyg för att bygga automationer, scrapers och interna dashboards, och det är där det bränner till. Det de flesta missar är att det inte räcker att fråga om ett AI-verktyg är "säkert" i teorin, utan vad det faktiskt skickar hem när ingen tittar. Standardinställningen bör vara misstro, inte tillit – och det gäller oavsett om loggan har ett X eller ett Claude på sig.