Содержание
Grok Build отправлял кодовые базы в облако
У AI-инструментов для программирования снова всплыла важная тема: сколько данных они реально забирают из рабочих проектов. The Verge со ссылкой на The Register и исследователей Cereblab пишет, что CLI-инструмент Grok Build загружал в Google Cloud целые кодовые базы пользователей, а не только отдельные открытые файлы или выбранные фрагменты.
По данным исследователей, в отправку могли попадать файлы, которые инструменту запрещали открывать, а также секреты, удаленные из истории. Это особенно чувствительно для команд, которые используют AI-помощников в коммерческом коде: в репозиториях часто лежат внутренние архитектурные решения, конфигурации, персональные данные, ключи доступа и следы уязвимостей.
Что уже изменили
Cereblab сообщает, что по состоянию на понедельник серверы SpaceXAI начали возвращать флаг disable_codebase_upload: true, после чего загрузка всей кодовой базы перестала срабатывать. Илон Маск также написал в X, что ранее загруженные данные будут удалены.
При этом вокруг настроек приватности остались вопросы. SpaceXAI указывала на команду /privacy в CLI, но исследователи отмечают, что это переключатель удержания данных внутри отдельной сессии, а не тот механизм, который остановил массовую отправку репозиториев.
Почему это важно пользователям AI-кодинга
Случай показывает, что перед подключением AI-агента к рабочему проекту стоит проверять не только качество автодополнения, но и политику доступа к данным. Для бизнеса и разработчиков важны режимы zero data retention, явные настройки индексации репозитория, список исключений и понятное объяснение, что именно уходит на серверы провайдера.
Практический вывод простой: AI-инструменты для кода лучше запускать сначала на тестовых проектах, с отдельными ключами и без секретов в истории. А для продакшен-репозиториев нужен процесс ревью: какие директории доступны ассистенту, где хранятся переменные окружения и можно ли полностью отключить загрузку проекта в облако.