xAI удалит все данные пользователей после скандала с утечкой кода

Вчера, Редакция Рунет | 👁 3793

xAI удалит все данные пользователей после скандала с утечкой кода

Компания xAI Илона Маска экстренно изменила работу ИИ-инструмента Grok Build CLI после того, как он начал без ведома пользователей загружать на серверы целые Git-репозитории с личными данными. Об этом говорится в исследовании специалиста по информационной безопасности под псевдонимом Cereblab.

«В качестве меры предосторожности мы полностью удалим все пользовательские данные, загруженные до внесения изменений», — заявил Илон Маск.

Проблему обнаружил специалист по информационной безопасности, выступающий под псевдонимом Cereblab. Анализ сетевого трафика версии Grok Build 0.2.93 показал, что инструмент формировал Git-архив и отправлял его в облачное хранилище Google Cloud. При этом объем передаваемых данных многократно превышал необходимый для работы модели: в одном из тестов на запрос размером 192 КБ пришлось 5,1 ГБ загрузки.

По словам исследователя, передавались не только исходные файлы проекта, но и вся история Git. Для проверки он поместил в репозиторий тестовый ключ, который затем обнаружился в переданном архиве. В другом эксперименте инструмент отправил содержимое домашнего каталога с SSH-ключами и базами данных менеджера паролей.

Отключение в настройках функции «Improve the model» не предотвращало передачу данных. Как выяснил Cereblab, эта опция отвечала лишь за согласие на использование кода для обучения моделей, но не отключала саму отправку. Подобное поведение не было описано в документации.

Спустя несколько часов после публикации отчета разработчики отключили загрузку репозиториев на стороне сервера, не выпуская новую версию инструмента. Позднее в xAI уточнили, что пользователи корпоративной версии с режимом Zero Data Retention не были затронуты. Остальным клиентам рекомендовали использовать команду /privacy, однако исследователь отметил, что передачу кода остановил именно серверный флаг, а не пользовательские настройки.

Маск также призвал пользователей по возможности продолжать делиться частью данных для отладки сервиса. По мнению исследователя, критическая проблема инцидента заключается в том, что инструмент без явного уведомления копировал значительно больше данных, чем требовалось для выполнения запросов.

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.

Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.
Читайте нас в удобном формате: