Alle Depeschen

DepescheWerkzeugeneu

Grok Build lud ganze Repositories samt Git-History in SpaceXAIs Cloud – der Opt-out griff nicht

Eine Wire-Level-Analyse des Forschers „cereblab“ zeigt, dass SpaceXAIs Coding-Werkzeug Grok Build (CLI 0.2.93) nicht nur die vom Modell gelesenen Dateien übertrug, sondern parallel das komplette getrackte Repository inklusive vollständiger Git-History in einen Google-Cloud-Storage-Bucket von SpaceXAI hochlud – unabhängig davon, was das Modell überhaupt las. Der Schalter „Improve the model“ stoppte das nicht: Er regelt das Training, nicht den Upload. Am 13. Juli 2026 stellte SpaceXAI die Uploads serverseitig ab.

Methodisch ist die Analyse geradlinig: Der Forscher leitete Grok Build CLI 0.2.93 über den Interception-Proxy mitmproxy und veröffentlichte die entschlüsselten Mitschnitte als öffentliches Gist samt Repro-Repository. Sichtbar werden zwei getrennte Kanäle. Kanal A (`POST /v1/responses`) trägt die Inhalte der Dateien, die der Agent tatsächlich liest. Kanal B (`POST /v1/storage`) lädt davon unabhängig einen Schnappschuss des gesamten Arbeitsverzeichnisses in den Bucket `gs://grok-code-session-traces`.

Die Größenordnung macht den Unterschied greifbar: Bei einem 12 GB großen Test-Repository bewegte Kanal A rund 192 KB, Kanal B dagegen 5,10 GiB (5.476.228.005 Bytes) in 73 Blöcken zu je etwa 75 MB; alle 82 Anfragen an `/v1/storage` quittierte der Server mit HTTP 200. Das Verhältnis zwischen dem, was das Modell brauchte, und dem, was den Rechner verließ, liegt damit bei rund 27.800∶1. Eine als Köder platzierte Datei (`src/_probe/never_read_canary.txt`), die das Modell nie las, tauchte wortgleich im Mitschnitt auf – ebenso die Inhalte einer `.env`-Datei mit Test-Zugangsdaten, unredigiert und im Klartext, sowohl im Modell-Turn als auch im hochgeladenen `session_state`-Archiv.

Der Opt-out wirkte nicht wie erwartet: Mit deaktiviertem „Improve the model“ lud Grok das Repository weiterhin hoch, und die Server-Antwort auf `/v1/settings` meldete unverändert `trace_upload_enabled: true`. Der Forscher zieht daraus den Schluss, dass der Schalter das Training regelt, nicht den Abfluss – „opting out does not stop your repository from leaving the machine“.

Am 13. Juli 2026 hörte dasselbe Binary 0.2.93 auf, Storage-Anfragen zu stellen; der Server lieferte nun `disable_codebase_upload: true` und `trace_upload_enabled: false`. Es handelt sich also um einen serverseitigen Schalter, nicht um ein Update des Clients. Wichtig für die Einordnung: Der Forscher konnte das nur auf einem Rechner und einem Konto nachmessen – ob die Abschaltung global, gestaffelt oder dauerhaft ist, ist damit nicht belegt. SpaceXAI äußerte sich laut The Hacker News dahingehend, dass Enterprise-Kunden mit Zero-Data-Retention nie betroffen gewesen seien und Privatnutzer die Speicherung per `/privacy` abschalten könnten; Elon Musk erklärte, bereits hochgeladene Nutzerdaten würden vollständig gelöscht. Diese Zusagen sind Partei-Angaben und bislang nicht unabhängig überprüft.