xAI Grok Build CLIが送信するデータの実態分析
मूल शीर्षक: What xAI's Grok Build CLI Actually Sends to xAI
यह क्यों महत्वपूर्ण है
開発者ツールが機密情報やコードベース全体を無断でクラウドへ送信する可能性を示す事例として、企業のセキュリティポリシーとAIツール導入に直接影響する。
xAIの公式コーディングツールGrok Build CLI(バージョン0.2.93)が、ユーザーのローカル環境から.envファイルの機密情報、Gitリポジトリ全体の内容と履歴をxAIのサーバーへ送信していることが、ワイヤーレベルの通信解析により判明した。
セキュリティ研究者cereblabがGitHub Gistに公開した技術報告書によると、xAIのGrok Build CLI(バージョン0.2.93)は通常のユーザーログイン時に、以下の3つの重大な動作を行うことが確認された。
第一に、.envファイルを含む読み取りファイルの内容を、無加工・無検閲のまま`POST /v1/responses`(モデルターン)および`POST /v1/storage`(セッションアーカイブ)の2つのチャネルを通じてxAIに送信する。
第二に、エージェントが実際に読み取った内容とは無関係に、Gitリポジトリ全体(全追跡ファイルとGit履歴を含む)をGit bundle形式でアップロードする。検証実験では「ファイルを一切読まないでOKと返答せよ」という指示を与えたにもかかわらず、絶対に開かないよう設定したファイル`src/_probe/never_read_canary.txt`の内容とGit履歴がアップロードされていたことが確認された。
第三に、12GBの未読ランダムファイルのリポジトリを使ったスケールテストでは、`/v1/storage`が5.10GiBを転送(全てHTTP 200)したのに対し、モデルターンの転送量は192KBのみで、約27,800倍の差があった。これはアップロードがモデルの読み取り内容ではなくコードベース全体に基づいていることを示す。
データの送信先はAWS S3ではなく、Google Cloud Storageのバケット`grok-code-session-traces`であることが、バイナリとキャプチャされた`metadata.json`のパス(`gs://grok-code-session-traces/…`)から確認された。この動作はxAIの公式ドキュメントに明示されていないと報告書は指摘している。