SpaceXAI の Grok プログラミングツールがユーザーのコードベース全体をクラウドにアップロードしていた問題
SpaceXAI のコーディングツール「Grok Build」が、ユーザーの全コードベースや機密情報を意図せず Google Cloud にアップロードしていたセキュリティインシデントが発生し、同社が機能を停止してデータ削除を約束した。
キーポイント
予期せぬ大規模データ転送の発覚
Cereblab の調査により、Grok Build CLI がユーザーに明示的に指示されていないファイルや履歴から削除されたシークレットを含め、リポジトリ全体を Google Cloud にアップロードしていたことが明らかになった。
セキュリティ専門家の懸念
キングス・カレッジ・ロンドンの研究者は、このデータ保持量は「過剰」であり、proprietary source code(独自ソースコード)や脆弱性情報、認証情報などが漏洩するリスクがあると指摘している。
経営陣の対応と矛盾
Elon Musk は過去にアップロードされたデータの完全削除を約束し機能を停止させたが、同時に「デバッグのためデータ保持を許可してほしい」と要請する二面性のある発言を行った。
影響分析・編集コメントを表示
影響分析
このインシデントは、生成 AI を活用した開発ツールの普及に伴う「ブラックボックス化」によるセキュリティリスクを浮き彫りにしており、企業が開発ツールを利用する際のデータガバナンスの重要性を再認識させる出来事となった。特に、AI がユーザーの意図を超えて機密情報を外部に送信する事例は、業界全体の信頼性を揺るがす可能性があり、今後の規制強化やツールの透明性向上への圧力となるだろう。
編集コメント
AI ツールが「賢い」だけでなく「安全」であることの証明は、単なる機能の追加ではなく、データの最小化原則を徹底できるかにかかっています。今回の件は、開発者がツールに過度な信頼を置かないよう警鐘を鳴らす重要な事例です。
スティービー・ボニフィールド
消費者テック全般を取材するニュースライター。以前は Laptop Mag で、ハードウェア、ゲーム、AI に関するニュースやレビューを担当していました。
SpaceX AI のコード生成ツール「Grok Build」が、問題が発覚する前にユーザーの全コードベースを Google Cloud にアップロードしていたことが発覚し、同社は即座に機能を停止しました。The Register は、Cereblab が月曜日に発表した調査結果を報じています。それによると、Grok Build の CLI ツールは、指示されたファイルを開かないように設定されていた場合でも、履歴から削除された機密情報を含むコードリポジトリ全体をパッケージ化してアップロードしていたことが明らかになりました。これは Claude Code などの類似ツールと比較しても、圧倒的に多くのデータを保持している状態です。
研究者たちは月曜日の時点でのテスト結果として、SpaceX AI のサーバーが「disable_codebase_upload: true」というフラグを返しており、コードベースのアップロード機能はもはや作動していないと報告しています。
イーロン・マスクはこの事案について X(旧 Twitter)で投稿し、Grok Build が以前にアップロードしたすべてのデータは「完全に消去される」と主張しました。また別の投稿では、「プライバシー設定は常に尊重されている」と述べつつ、デバッグ作業の効率化のために SpaceX AI 側にデータを保持することを許可するようユーザーに呼びかけました。
キングス・カレッジ・ロンドンの独立セキュリティ研究者、ルカシュ・オレニク博士は『ザ・バージ』に対し、このデータ保持量は「過剰すぎる」と指摘。さらに、リスクにさらされる可能性があるデータには、「独自ソースコードやセキュリティ脆弱性に関する情報、個人情報、インフラの詳細、認証情報などが含まれる可能性もある」と付け加えた。
SpaceXAI は当初、この問題に対して 投稿 で「ゼロデータ保持を無効化した場合、CLI 内で /privacy コマンドが利用可能となり、これによりデータ保持を無効化できるほか、以前に同期されたデータも削除される」と回答していた。しかし、Cereblab は「/privacy はセッションごとの保持設定の切り替えスイッチであり、今回の問題を解決する根本的なスイッチではないため、これをコントロールとして提示するのは適切ではない」と指摘している。
この記事のトピックや著者をフォローして、パーソナライズされたホームフィードで類似記事を見たり、メール更新を受け取ったりできます。
- スティービー・ボニフィールド
原文を表示
Stevie Bonifield
is a news writer covering all things consumer tech. Stevie started out at Laptop Mag writing news and reviews on hardware, gaming, and AI.
SpaceXAI’s Grok Build AI coding tool was spotted uploading users’ entire codebases to Google Cloud before it was reported, and the company turned it off. The Register reports that Cereblab published findings on Monday showing how the Grok Build CLI was packaging and uploading entire code repositories, “including files it was told not to open and secrets deleted from history,” significantly more data retention than similar tools like Claude Code.
The researchers say that as of Monday, their tests show SpaceXAI’s servers returning a “disable_codebase_upload: true” flag, and the codebase upload “no longer fires.”
Elon Musk responded to the incident in a post on X claiming that all data Grok Build previously uploaded will be “completely and utterly deleted.” Musk also said in a separate post that “privacy settings are always respected,” but asked users to allow SpaceXAI to retain their data, saying it’s “helpful for debugging issues.”
Dr. Lukasz Olejnik, an independent security researcher at King’s College London, confirmed to *The Verge* that this amount of data retention is “excessive,” adding that the data potentially at risk could include “proprietary source code, information about security vulnerabilities, personal data, infrastructure details, [and] credentials.”
SpaceXAI initially responded to the issue with a post saying that, “If [zero data retention] is disabled, the /privacy command is available in the CLI to disable data retention, which also deletes previously synced data.” However, Cereblab points out that “/privacy is a per-session retention toggle, not the switch that fixed this, so it shouldn’t be pointed to as the control.”
Follow topics and authors from this story to see more like this in your personalized homepage feed and to receive email updates.
- Stevie Bonifield
-
-
-
-
-
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み