Un'analisi approfondita del traffico di rete ha rivelato che lo strumento a riga di comando Grok Build di xAI, la società di intelligenza artificiale fondata da Elon Musk, stava caricando interi repository Git, inclusi dati sensibili e segreti non oscurati, su un bucket cloud controllato dall'azienda. Il comportamento, scoperto dal ricercatore di sicurezza noto come cereblab, è stato successivamente disattivato da xAI attraverso una modifica sul lato server, senza alcun avviso pubblico o comunicazione ufficiale.
La cattura dei pacchetti rivela il trasferimento massivo di codice
Il ricercatore, operando sotto lo pseudonimo cereblab, ha instradato il traffico di Grok Build CLI versione 0.2.93 attraverso il proxy di intercettazione mitmproxy su macOS e ha pubblicato le catture come gist pubblico. L'analisi ha mostrato che il client raggruppava l'intero repository tracciato, inclusa la cronologia Git completa, e lo caricava su un bucket Google Cloud Storage denominato grok-code-session-traces. Il caricamento avveniva indipendentemente dai file che l'agente apriva per il suo compito di codifica. I numeri rendono concreta questa distinzione. Su un repository di prova da 12 GB, il canale delle richieste del modello ha spostato circa 192 KB di traffico rilevante per l'attività, mentre il caricamento sullo storage ha spostato circa 5.1 gigabyte. Lo strumento non stava inviando ciò di cui aveva bisogno per rispondere allo sviluppatore, ma stava inviando l'intero codebase. Un credenziale di prova piantata dal ricercatore in un file .env è apparsa testualmente e senza oscuramento nel traffico catturato. Poiché la CLI caricava qualsiasi repository in cui veniva eseguita, qualsiasi team che avesse puntato lo strumento su un codebase privato o proprietario avrebbe consegnato a xAI una copia non dichiarata della propria storia di codice, comprese credenziali e segreti.
Sponsored Protocol
L'opzione di esclusione non impediva il caricamento
Grok Build è dotato di un interruttore "Migliora il modello" che la maggior parte degli sviluppatori interpreta come controllo sulla raccolta dati. Disabilitarlo non fermava i caricamenti. Le risposte del server restituivano ancora trace_upload_enabled: true e il trasferimento del repository procedeva normalmente. L'impostazione governa il consenso all'addestramento, non se il codice esce dalla macchina. Né il bucket di storage né il comportamento di caricamento appaiono nella documentazione di configurazione di Grok Build, secondo quanto riportato dall'analisi, che nota anche come xAI avesse commercializzato lo strumento come local-first.
Sponsored Protocol
La correzione arriva in silenzio lato server
Un giorno dopo che il rapporto è diventato pubblico, il ricercatore ha ritestato lo stesso client 0.2.93 e ha scoperto che il server ora restituiva disable_codebase_upload: true insieme a trace_upload_enabled: false. In sei ritest, non sono stati osservati caricamenti di repository. Ciò indica una mitigazione deliberata lato server implementata dopo l'esposizione, attivata da remoto e invisibile. Le cautele valgono in entrambe le direzioni. La mitigazione è stata verificata su una macchina e un account, quindi non c'è conferma che sia globale, scaglionata o permanente. Allo stesso tempo, il ricercatore è esplicito nel dire che le catture non dimostrano che xAI si sia addestrato sul codice caricato, che dipendenti lo abbiano visualizzato o che ogni account abbia ricevuto la stessa configurazione. Si tratta di un riscontro su raccolta non dichiarata, non di abuso confermato.
Sponsored Protocol
Le domande senza risposta su conservazione e cancellazione
Ciò che manca completamente è la versione di xAI. Nessun advisory di sicurezza, nessuna spiegazione dello scopo, della portata o della conservazione del caricamento, nessuna parola su se i repository già presenti in grok-code-session-traces verranno cancellati. Il changelog ufficiale elencava la versione 0.2.98 come ultima release al 12 luglio 2026 senza menzionare affatto il comportamento di caricamento dei repository. Come avvertiva Satya Nadella sui rischi dei modelli AI proprietari, la trasparenza nella gestione dei dati sensibili rimane una questione critica per l'adozione enterprise. L'episodio solleva interrogativi sulla fiducia che sviluppatori e aziende possono riporre negli strumenti di AI generativa per la codifica, specialmente quando le politiche di raccolta dati non sono chiare. Fino a quando xAI non fornirà risposte definitive, la cautela rimane d'obbligo.
Sponsored Protocol