Grok Buildが全コードベースを無断送信
出典:The Verge
詳細を読む
イーロン・マスク氏率いるSpaceXAIのAIコーディングツール「Grok Build」が、利用者のコードベース全体を無断でGoogle Cloudへアップロードしていたことが判明しました。セキュリティ企業Cereblabが調査結果を公表し、The Registerが報じたものです。同ツールは「開かないよう指示されたファイル」や「履歴から削除された機密情報」まで取り込んでおり、Claude Codeなど同種ツールを大きく上回るデータ保持だったとされます。
問題の核心は、アップロードの範囲が想定を超えていた点にあります。King's College Londonの独立セキュリティ研究者ルカシュ・オレイニク博士はThe Vergeに対し、この保持量を「過剰」と指摘しました。危険にさらされ得る情報には、独自のソースコードやセキュリティ脆弱性の情報、個人データ、インフラ構成、認証情報が含まれるといいます。
SpaceXAIは発覚後、サーバー側で「disable_codebase_upload: true」フラグを返すよう変更し、コードベースのアップロードは停止したとされます。マスク氏はX上で、過去にアップロードされたデータは「完全かつ徹底的に削除される」と表明しました。
一方で対応には曖昧さも残ります。マスク氏は「プライバシー設定は常に尊重される」としつつ、デバッグに役立つとしてデータ保持への同意を利用者に求めました。SpaceXAIは当初「/privacyコマンドで保持を無効化でき、同期済みデータも削除される」と説明しましたが、Cereblabは「/privacyはセッション単位の切り替えにすぎず、今回の修正とは別物だ」と反論しています。