Grok、ユーザのコード一式をクラウドへ送信
SpaceX AIのAIプログラミング支援ツール「Grok Build」が、ユーザーのコードリポジトリ全体をクラウドへ自動的にアップロードしていた問題が表面化した。セキュリティ調査団体Cereblabの解析により、同CLIツールが指定された除外対象や履歴削除された機密ファイルを含むすべてのコードをGoogle Cloudへ送信していた事実が確認された。これは類似ツールと比較しても著しく過剰なデータ保持である。Cereblabは月曜日時点の検証において、SpaceX AIのサーバーがアップロード停止を示すフラグを返すようになり、問題の送信処理が完全に停止していることを確認した。 この事案に対し、イーロン・マスクはX上で「過去にアップロードされたデータは完全に削除される」と表明したが、同時にデバッグ支援を目的としたデータ保持の許可をユーザーに要請した。独立セキュリティ研究者のDr. Lukasz Olejnikは、本件のデータ収集規模を過剰と批判。Proprietaryなソースコード、セキュリティ脆弱性情報、インフラ構成、認証情報などが漏洩リスクにさらされ得ると警告した。 当初SpaceX AIは、CLIの「/privacy」コマンドによりデータ保持を無効化でき、同期データも削除されると説明していた。しかしCereblabは、該コマンドがセッション限りの切り替え機能であり、根本的なアップロード停止制御ではないと指摘し、同社の初期対応の誤解を招く表現を否定している。開発側は今後、コード機密性を担保する明確なプライバシー設計と透明性のあるデータ処理方針の見直しが求められる。
