Инструмент для разработки Grok Build от компании SpaceXAI был замечен в автоматической отправке локальных репозиториев пользователей на серверы Google Cloud. Исследователи Cereblab обнаружили, что CLI-утилита игнорировала настройки исключений и загружала содержимое всей кодовой базы целиком, включая файлы, к которым у модели не было прав доступа. После публикации отчета функциональность была временно отключена.
Инцидент вызвал серьезные опасения в сообществе разработчиков относительно безопасности использования ИИ-ассистентов для работы с проприетарным кодом. Проблема заключалась в том, что процесс передачи данных происходил скрыто, а механизм фильтрации файлов, заданный через конфигурационные файлы, не срабатывал должным образом. Это ставит под угрозу конфиденциальность интеллектуальной собственности компаний, использующих подобные инструменты для автоматизации написания кода.
Разработчики Cereblab подчеркнули, что инструмент не только собирал файлы, но и упаковывал их в архивы перед отправкой в облачное хранилище. Подобная практика сбора данных без явного согласия пользователя или прозрачного уведомления о целях обработки является критическим нарушением стандартов безопасности в корпоративной разработке. На данный момент компания SpaceXAI приостановила работу сервиса для проведения внутреннего аудита безопасности.
Ключевые факты
- Инструмент Grok Build CLI автоматически загружал полные репозитории пользователей в Google Cloud.
- Исследователи Cereblab зафиксировали игнорирование файлов, указанных в списках исключений (например, .gitignore).
- Проблема была выявлена в процессе анализа сетевого трафика, который показал передачу данных без должного уведомления.
- Компания SpaceXAI официально отключила функциональность инструмента после обнародования данных об утечке.
- Инцидент подчеркивает риски использования сторонних ИИ-инструментов, имеющих полный доступ к локальным файловым системам разработчиков.
