La herramienta de programación con IA de xAI subía repositorios completos a la nube sin avisar
Grok Build, la herramienta de programación con inteligencia artificial de xAI, subía repositorios de código completos (incluido su historial y archivos que el modelo nunca leyó) a un servidor de almacenamiento de xAI, sin que el usuario lo supiera. xAI desactivó la función el 13 de julio, pero no publicó un aviso oficial.
Qué ocurrió
Grok Build, la herramienta de línea de comandos que xAI ofrece para asistir tareas de programación con inteligencia artificial, subía repositorios de código completos (con todo su historial de cambios) a un servidor de almacenamiento propiedad de xAI. El problema no era solo que los archivos usados en la tarea se compartieran con el proveedor de la herramienta, algo esperable, sino que también se subían archivos que el modelo de inteligencia artificial nunca llegó a leer, incluidos algunos que el propio usuario le había pedido explícitamente no tocar. Un investigador detectó la falla al comparar el tamaño de lo que el modelo recibía (192 KB) contra lo que realmente se transfería al servidor (más de 5 gigabytes). xAI desactivó la función el 13 de julio, pero no publicó un aviso de seguridad ni una nota de cambios explicando lo ocurrido.
Quién está expuesto
Para organizaciones
Empresas cuyos equipos de desarrollo usan Grok Build sin la configuración empresarial de retención cero de datos.
Para personas
Programadores independientes que usaron la herramienta para tareas de código en repositorios propios o de clientes.
A considerar
xAI agregó un comando llamado /privacy para que cada usuario pueda desactivar la retención de datos y borrar lo que ya se sincronizó. Cualquier contraseña o llave de acceso que haya estado en el código en algún momento (incluso si ya fue eliminada) debe considerarse expuesta y debe rotarse.
Impacto potencial
Si el repositorio subido contenía contraseñas, llaves de acceso a servicios en la nube o cualquier otro dato sensible en su historial, esa información quedó fuera del control de la organización, almacenada en un servidor de un tercero sin que existiera una decisión consciente de compartirla.
Leer fuente original →