AI News HubLIVE
サイト内リライト1 分で読了

SpaceXAIのGrokプログラミングツールがユーザーのコードベース全体をクラウドストレージにアップロードしていた

SpaceXAIのGrok Build AIコーディングツールが、ユーザーのコードベース全体をGoogle Cloudにアップロードしていることが発見され、報告後に同社は機能を停止しました。Cereblabの調査では、Grok Build CLIが指示されたファイルや削除済みの機密情報を含む全リポジトリをパッケージ化してアップロードしており、類似ツールのClaude Codeよりもはるかに多くのデータを保持していたことが示されています。

ソースThe Verge AI著者: Stevie Bonifield

SpaceXAIのAIコーディングツール「Grok Build」が、ユーザーのコードベース全体をGoogle Cloudにアップロードしていた深刻なプライバシー問題が明らかになりました。セキュリティ研究企業Cereblabが月曜日に発表した報告によると、Grok Buildのコマンドラインインターフェース(CLI)は、ユーザーのコードリポジトリ全体を自動的にパッケージ化し、Google Cloudにアップロードしていました。これには、ユーザーが開かないように指定したファイルや、履歴から削除された秘密鍵も含まれており、データ保持量はClaude Codeなどの類似ツールを大幅に上回っていました。Cereblabの研究者によると、月曜日時点でのテストでは、SpaceXAIのサーバーから「disable_codebase_upload: true」フラグが返され、コードベースのアップロードは「もはや作動していない」ことが確認されました。イーロン・マスク氏はXへの投稿で、以前アップロードされたデータはすべて「完全かつ徹底的に削除される」と述べています。しかし、別の投稿では「プライバシー設定は常に尊重される」とした上で、デバッグのためにデータ保持を許可するようユーザーに求めるコメントも見られました。キングス・カレッジ・ロンドンの独立セキュリティ研究者であるLukasz Olejnik博士はThe Vergeに対し、このデータ保持量は「過剰」であり、リスクにさらされる可能性があるデータとして「専有ソースコード、セキュリティ脆弱性情報、個人データ、インフラ詳細、認証情報」を挙げました。SpaceXAIは当初、「ゼロデータ保持が無効の場合、CLIの/privacyコマンドでデータ保持を無効にでき、過去の同期データも削除される」と説明していましたが、Cereblabは「/privacyはセッション単位の保持トグルであり、この問題を修正したスイッチではないため、制御として指摘されるべきではない」と指摘しています。