whynotAI Lab

Grok Build CLI загружал репозитории в облако без предупреждения

Опубликовано Jul 14, 20262 мин чтенияНачальный

Что произошло

Инструмент Grok Build CLI, разработанный компанией xAI для помощи разработчикам, оказался способен загружать полные Git-репозитории, включая историю изменений, в облачное хранилище Google. Это происходило без явного предупреждения пользователей, даже если они отключали опцию сбора данных для улучшения модели.

Детали

Исследователь под псевдонимом cereblab обнаружил, что Grok Build CLI версии 0.2.93 загружал репозитории в облачный бакет Google под названием grok-code-session-traces. Например, на тестовом репозитории объёмом 12 ГБ инструмент отправлял около 5,1 ГБ данных, хотя для выполнения задачи требовалось всего 192 КБ.

«Инструмент отправлял не то, что нужно для ответа разработчику, а весь код целиком», — отмечает исследователь.

Важно, что даже отключение опции «Улучшить модель» не останавливало загрузку. Это подтвердилось в серверных ответах, где параметр trace_upload_enabled оставался активным.

Почему это важно

Эта находка вызывает вопросы о прозрачности работы инструментов ИИ, особенно когда речь идёт о конфиденциальных данных разработчиков. Многие компании используют приватные репозитории, и такая практика может привести к утечке важной информации, включая секретные ключи и конфиденциальные данные.

Что дальше

После публикации исследования xAI отключил функцию загрузки репозиториев, добавив параметр disable_codebase_upload: true в серверные ответы. Однако компания не предоставила официальных комментариев и не сообщила, что произойдёт с уже загруженными данными.

Этот случай подчёркивает необходимость более строгого контроля за инструментами ИИ, особенно когда они работают с конфиденциальной информацией. Разработчикам стоит внимательно изучать документацию и поведение таких инструментов перед их использованием.

Это разбор
Самостоятельный разбор новости. Оригинал на internationalcyberdigest.com — по ссылке ниже.

Источники

Было полезно?