Narzędzie Grok Build CLI od SpaceXAI przesyłało do Google Cloud całe repozytoria kodu użytkowników bez odpowiedniej kontroli. Badacze z Cereblab odkryli, że funkcja pakuje i wysyła nie tylko aktualny kod, ale również pliki oznaczone jako ignorowane i sekrety wcześniej usunięte z historii projektu - znacznie więcej danych niż w konkurencyjnych narzędziach jak Claude Code.
SpaceXAI szybko zareagowała na raport. Już w poniedziałek, kiedy badacze opublikowali swoje odkrycia, serwery SpaceXAI zaczęły zwracać flagę "disable_codebase_upload: true", skutecznie wyłączając funkcję przesyłania. To pokazuje, jak ważne jest starannie audytowanie narzędzi AI pracujących z kodem - zwłaszcza gdy mogą mieć dostęp do poufnych informacji, kluczy dostępu i wewnętrznych sekretów projektów.
Incydent podkreśla szerszy problem w ekosystemie narzędzi kodujących opartych na AI. Różne platformy mają różne podejścia do przechowywania i transmisji danych użytkownika, co może prowadzić do niezamierzonego wycieku wrażliwych informacji. Deweloperzy korzystający z takich narzędzi powinni być świadomi, jakie dane są przesyłane, i regularnie sprawdzać prywatność swoich projektów.