SpaceXAIのAIコードツール「Grok Build」は、ユーザーのすべてのコードベースをグーグルクラウドにデフォルトでアップロードしていることが暴露され、データセキュリティに関する議論を巻き起こしました。現在、同社は関連機能を無効化しています。Cereblabが月曜日に公表した調査によると、Grok Build CLIはコードベース全体をパッケージし、アップロードしており、明確にアクセス禁止とされているファイルや、履歴から削除された機密情報も含まれています。そのデータ保持範囲は、Claude Codeなどの同様のAIプログラミングツールよりもはるかに広いです。

研究者によると、月曜日のテスト時点では、SpaceXAIサーバーは「disable_codebase_upload: true」というタグを返しており、コードベースのアップロードはトリガーされなくなっていることから、関連機能が無効化されていることが示されています。

Grok、マスク、xAI

この出来事について、イーロン・マスクはXプラットフォームで、以前にアップロードされたデータは「完全かつ彻底的に削除される」と述べ、SpaceXAIが「常にプライバシー設定を尊重している」と強調しました。しかし、彼は同時に、問題の特定およびデバッグを助けるために、ユーザーがデータを保持することを許可することを望んでいると述べました。

ロンドン王立学院の独立セキュリティ研究者であるLukasz Olejnik氏は、このような大規模なデータ保持には明らかにリスクがあり、特許ソースコード、セキュリティホールの情報、個人データ、インフラストラクチャの詳細、アクセス資格など、機密情報が含まれている可能性があると指摘しました。

これに対して、SpaceXAIはCLI内の「/privacy」コマンドを使用してデータ保持を無効化し、以前に同期したデータを削除できることを発表しましたが、Cereblabはそのコマンドが一度限りのセッションにのみ有効であり、今回の問題を解決するものではないため、真正の修正とは見なせないと述べました。今回の出来事は、AIプログラミングツールがコードのプライバシー、データガバナンス、ユーザー信頼において直面している継続的な課題を再び浮き彫りにしています。