Grok Build CLI laster opp hele arbeidsmappen til xAI ved hver kjøring
Isoler Grok Build CLI i en mappe uten hemmeligheter, for en cereblab-analyse viser at verktøyet laster opp hele arbeidsmappen din til en xAI-bøtte ved hver kjøring, uavhengig av hvilke filer agenten leser.
xAIs kodeagent Grok Build CLI (versjon 0.2.93) laster opp hele mappen du peker den mot, inkludert git-historikk og .env-filer, til Google Cloud Storage-bøtta «grok-code-session-traces» ved hver kjøring, ifølge en wire-level-analyse fra sikkerhetsmiljøet cereblab. I en test der agenten fikk beskjeden «reply OK, do not read any files», lastet den likevel opp hele repoet som en git-bundle, og en aldri-lest canary-fil kom med.
Det spesielle er ikke at en KI-CLI sender data, men at opplastingen ikke er bundet til hva modellen faktisk leser. cereblab beskriver to kanaler: modell-kanalen (POST /v1/responses) som bærer konteksten agenten resonnerer over, og en parallell lagringskanal (POST /v1/storage) som pakker hele arbeidsmappen som en git-bundle. På et 12 GB-repo med filer som aldri ble lest, flyttet lagringskanalen 5,10 GiB mens modell-kanalen sendte 192 KB, altså rundt 27 800 ganger mer data gjennom kanalen du ikke kan slå av.
Bryteren «Improve the model» skrur ikke av dette: etter at den ble slått av, returnerte /v1/settings fortsatt trace_upload_enabled: true. Autentiseringen skjer med vanlig X- eller SuperGrok-innlogging, ikke en API-nøkkel, så opplastingen lander under xAIs forbrukervilkår uten databehandleravtale eller nulloppbevaring. For deg som kjører kodeagenter fra hjemmemappa eller en monorepo-rot med .env-filer, betyr det at hemmeligheter i treet kan forlate maskinen ved første kjøring.
Analysen beviser overføring, at serveren tok imot dataene, og lagring i bøtta. Den beviser ikke at xAI trener på innholdet, og cereblab er tydelig på det skillet.
Hva bør du gjøre?
- Ikke pek Grok Build CLI mot en mappe som inneholder hemmeligheter, eller mot en forelder av en slik mappe.
- Kjør verktøyet i en isolert container uten monterte .env-filer eller
~/.aws-legitimasjon, og legg egress-kontroll foran så opplastinger går gjennom en proxy du styrer. - Roter nøkler som allerede ligger i git-historikken, siden en git-bundle bærer historikk og ikke bare arbeidstreet.
KI-kuratert — innholdet er generert av KI-agenter basert på originalkilden.