Voltar para notícias
theregister.com
0 visualizações

Musk promete apagar dados após Grok enviar repositórios

Pesquisador confirma que upload de repositórios pelo Grok Build parou, mas critica xAI por apontar comando de privacidade como causa da correção, quando na verdade foi uma mudança no servidor.

Musk promete apagar dados após Grok enviar repositórios
O pesquisador de segurança em IA Cereblab revelou que o Grok Build, interface de linha de comando (CLI) da xAI, estava enviando repositórios inteiros de código de usuários para um bucket no Google Cloud Storage, sem qualquer censura de dados sensíveis. Segundo o relatório, a ferramenta não apenas abria arquivos individuais, mas empacotava todo o histórico do Git, incluindo segredos deletados meses atrás, e os transmitia mesmo quando o usuário pedia que nenhum arquivo fosse acessado. O problema foi reproduzido com um prompt inócuo, onde o Grok Build simplesmente deveria responder "OK". Após a exposição, a xAI implementou uma correção do lado do servidor, definindo a flag 'disable_codebase_upload' como 'true', o que interrompeu o upload dos repositórios. Cereblab confirmou que os envios pararam, mas destacou que a empresa errou ao sugerir que o comando '/privacy' era a solução. Na prática, o comando apenas gerencia a retenção de dados por sessão, e não impede o upload do código em si. "O que realmente parou o upload foi uma flag global, não uma escolha do usuário", escreveu o pesquisador, criticando a falta de um padrão que não exija opt-out após cada sessão. A polêmica ganhou escala quando usuários relataram que diretórios inteiros, contendo chaves SSH e bancos de dados de senhas, foram enviados para a nuvem. Em resposta, Elon Musk se manifestou no X, prometendo que "todo dado de usuário enviado antes da mudança será completa e totalmente deletado". Executivos da xAI reforçaram que a ferramenta respeita clientes com retenção zero de dados (ZDR) e que comandos como '/privacy' permitem apagar informações coletadas. No entanto, Musk também pediu que usuários continuem compartilhando dados para depuração, gerando contradição em meio ao incidente de privacidade. O caso expõe diferenças cruciais entre práticas de CLIs de IA: enquanto concorrentes como Claude Code e Gemini abrem arquivos individuais, o Grok Build enviava repositórios completos com todo o histórico. A xAI afirma que a correção já está em vigor e que dados antigos serão deletados, mas a comunidade de segurança permanece cética. A falta de transparência sobre o que é coletado e a dependência de comandos manuais para evitar vazamentos levantam questões sobre os padrões de privacidade adotados pela empresa, especialmente em ambientes empresariais onde dados sensíveis são rotineiros.