SpaceXAI Grok Build rīks augšupielādējis lietotāju kodu mākoņkrātuvē
SpaceXAI Grok Build AI kodēšanas rīks tika pamanīts augšupielādējam lietotāju pilnus kodu repozitorijus Google Cloud pirms uzņēmums to atslēdza. Pētnieki norāda uz pārmērīgu datu saglabāšanu, tostarp sensitīvu informāciju.

SpaceXAI izstrādātais Grok Build AI kodēšanas rīks ir izraisījis bažas pēc tam, kad tika atklāts, ka tas augšupielādē lietotāju pilnus kodu repozitorijus mākoņkrātuvē, pirms uzņēmums šo funkcionalitāti atslēdza. Saskaņā ar The Register publicēto informāciju, Cereblab pētnieki pirmdien atklāja, ka Grok Build komandrindas saskarne iepakoja un augšupielādēja visus kodu repozitorijus, ieskaitot failus, kas bija norādīti kā neaizskarami, kā arī no vēstures izdzēstus noslēpumus. Šāda datu saglabāšana ir ievērojami plašāka nekā līdzīgiem rīkiem, piemēram, Claude Code.
Pētnieki norāda, ka kopš pirmdienas SpaceXAI serveri atgriež karogu “disable_codebase_upload: true”, un koda augšupielāde vairs netiek veikta. Uz šo incidentu reaģējis arī Īlons Masks, platformā X publicējot, ka visi iepriekš augšupielādētie dati tiks “pilnībā un galīgi izdzēsti”. Vienlaikus viņš atzīmēja, ka “privātuma iestatījumi vienmēr tiek ievēroti”, bet aicināja lietotājus atļaut datu saglabāšanu, jo tas “palīdz atkļūdošanā”.
Neatkarīgais drošības pētnieks Dr. Lukašs Oļeņiks no Londonas Karaļa koledžas apstiprināja The Verge, ka šāds datu apjoms ir “pārmērīgs”, piebilstot, ka apdraudētie dati var ietvert “īpašuma kodu, informāciju par drošības ievainojamībām, personas datus, infrastruktūras informāciju un akreditācijas datus”. Sākotnēji SpaceXAI atbildēja ar paziņojumu, ka, ja nulles datu saglabāšana ir atspējota, komandrindā ir pieejama komanda /privacy, lai atspējotu datu saglabāšanu un dzēstu iepriekš sinhronizētos datus. Tomēr Cereblab norāda, ka /privacy ir sesijas līmeņa saglabāšanas pārslēgs, nevis risinājums, kas novērsa problēmu, tāpēc to nevajadzētu minēt kā kontroli.


