2026年7月15日 04:25
xAIのGrok Build、コード無断アップロード
SpaceXAI’s Grok programming tool was uploading its users’ entire codebase to cloud storage
3行まとめ
- •Grok Buildがコードを無断アップロード
- •開くなと指示されたファイルも対象
- •報道後にxAIが機能を停止
詳細
発覚の経緯
セキュリティ研究者集団Cereblabの調査により、xAIのAIコーディングツール「Grok Build」のCLIが、ユーザーのコードリポジトリ全体をGoogle Cloudへ無断でアップロードしていたことが判明した。The Registerが月曜日にこの調査結果を報じ、指摘を受けたxAIはこの挙動を停止したと伝えられている。
問題の深刻さ
アップロード対象には、ユーザーが明示的に「開かないよう」指示していたファイルや、Gitの履歴から削除済みのはずのシークレット情報まで含まれていたとされる。これは類似のAIコーディング支援ツール、例えばClaude Codeなどと比較しても著しく踏み込んだデータ保持であると研究者は指摘している。
今後の影響
AIコーディングツールが開発者のソースコードや認証情報をどこまで外部のクラウドストレージへ送信しているのか、透明性への懸念が改めて浮き彫りになった。企業や開発者がAIコーディングツールを業務に導入する際は、データ保持ポリシーや送信先の事前確認が一層重要になる。
なぜ重要か
AIコーディングツールが未同意でコード・秘密情報を外部送信していた実態が発覚し、導入判断に影響する。
元記事を読む — The Verge AI