Grok Build CLIが送信するデータの実態分析

원제: What xAI's Grok Build CLI Actually Sends to xAI

왜 중요한가

開発者が利用するCLIツールによるリポジトリ全体・機密ファイルの自動送信は、企業の知的財産やセキュリティポリシーに直接影響する重大なプライバシーリスクを示す。

xAIの公式コーディングCLIツール「Grok Build」(バージョン0.2.93)が、ユーザーの.envファイル内の機密情報を含むリポジトリ全体をxAIのサーバーへ送信していることが、研究者によるワイヤーレベルの通信解析で2026年7月10日に明らかになった。送信先はGoogle Cloud Storageバケット「grok-code-session-traces」であることも確認された。

セキュリティ研究者cereblab氏がGitHub Gistで公開した分析レポートによると、xAIの公式CLIツール「Grok Build」は通常のログイン状態で以下の3点を実行することが確認された。

第1に、読み込んだファイル(.envファイルを含む)の内容を無加工・無編集のままxAIへ送信する。機密情報は`POST /v1/responses`(モデルへのリクエスト)と`POST /v1/storage`(セッションアーカイブ)の2経路で送信され、いずれもHTTP 200が返された。

第2に、エージェントが実際に読んだファイルとは無関係に、リポジトリ全体(追跡済みファイルの内容とgit履歴)をgitバンドル形式でアップロードする。研究者が「ファイルを読まずにOKと返答せよ」と指示した場合でも、指示対象外のファイル`src/_probe/never_read_canary.txt`を含むリポジトリ全体がアップロードされ、バンドルをgit cloneすることで復元できることが確認された。

第3に、12GBのリポジトリを使った検証では`/v1/storage`経由で5.10GiBが転送され、モデルターン側の192KBと比較して約27,800倍の差があり、送信データがモデルへの入力ではなくリポジトリそのものであることが示された。

送信先はGCSバケット「grok-code-session-traces」であり、バイナリ内およびキャプチャされた`metadata.json`に明記されていた。研究者は、この仕組みがCLIの利用規約や公式ドキュメントに明記されていないと指摘している。なお、分析はダミーの「カナリア」シークレットを含む専用リポジトリを使用して実施されており、実際の認証情報は使用されていない。

출처

gist.github.com — 원문 읽기 →