Jelentések szerint az xAI Grok Build CLI-je privát kódbázisokat szivárogtat használat közben
Komoly adatvédelmi aggályok merültek fel az xAI legújabb fejlesztésével, a Grok Build CLI nevű kódolási ágenssel kapcsolatban. A héten elvégzett hálózati forgalomelemzések lesújtó eredményeket hoztak: az eszköz a használat során nem elégszik meg a releváns fájlok elemzésével, hanem a teljes kódbázist, a teljes commit-előzményeket, sőt még a kritikus fontosságú .env fájlokat is továbbítja egy külső Google Cloud bucket felé. A helyzetet súlyosbítja, hogy ez a jelenség a biztonsági beállításoktól függetlenül történik, így az adatvédelmi kapcsolók bekapcsolt állapota sem nyújt védelmet a bizalmas adatok kiszivárgása ellen.
A technikai vizsgálatok során mért adatok döbbenetes aránytalanságra világítottak rá az AI-ágens működése és a háttérben zajló adatforgalom között. Egy 12 GB-os tesztrepó esetében maga az AI-beszélgetés mindössze 192 KB adatforgalmat generált, miközben a csendes háttérfeltöltés során több mint 5,1 GB adat távozott a szerverekre. Ez a mértékű, felhasználói jóváhagyás nélküli adatszivárgás olyan, mintha egy munkatársat kérnénk meg egyetlen dokumentum átadására, aki kérésünk teljesítése mellett az egész irattartó szekrény tartalmát is magával vinné, alapjaiban kérdőjelezve meg a szoftver megbízhatóságát.
Ez az eset rávilágít azokra a veszélyekre, amelyeket a gyorsan fejlődő AI-eszközök integrációja jelent a vállalati és privát fejlesztői környezetekben. Amikor egy fejlesztő a Grok Build CLI-hez hasonló megoldásokat alkalmaz, gyakran nem látja át a háttérben zajló hálózati folyamatokat, így akaratlanul is kiszolgáltathatja legérzékenyebb szellemi tulajdonát. A .env fájlok, amelyekben gyakran API-kulcsok és titkos hitelesítési adatok tárolódnak, ilyen módon történő külső szerverre irányítása rendkívül magas biztonsági kockázatot jelent. A történet intő jel lehet mindenki számára, aki harmadik féltől származó AI-eszközöket használ a kódbázisán belül: a kényelemért cserébe adott bizalom komoly árat követelhet, ha az eszközök nem tartják tiszteletben a felhasználói adatvédelmi beállításokat és az adattakarékosság elvét.
- Az eszköz feltölti a teljes kódbázist, beleértve a .env fájlokat és a commit-előzményeket is.
- Az adatokat akkor is Google Cloud bucketbe küldi, ha az adatvédelmi kapcsolók engedélyezve vannak.
- A hálózati elemzés kimutatta, hogy a háttérfeltöltések mérete jelentősen meghaladta az AI-beszélgetés adatait.
- --