Kategoriler
UYGULAMALAR
İstanbul
SpaceXAI’nin yapay zekâ destekli kodlama aracı Grok Build’in, kullanıcıların tüm kod tabanlarını izinsiz biçimde Google Cloud’a aktardığı ortaya çıktı. Tepkilerin ardından araç kapatılırken Elon Musk, daha önce yüklenen verilerin silineceğini duyurdu.
SpaceXAI tarafından geliştirilen Grok Build adlı yapay zekâ destekli kodlama aracı, ciddi veri güvenliği iddialarıyla gündeme geldi.
Cereblab tarafından paylaşılan bulgulara göre araç, kullanıcıların yalnızca aktif olarak çalıştığı dosyaları değil, tüm kod depolarını Google Cloud üzerine yükledi. Üstelik kullanıcıların erişime kapattığı dosyaların ve geçmişte silinmiş bazı gizli verilerin de bu aktarıma dahil olduğu belirtildi.
Ortaya çıkan tablo, özellikle hassas projelerde çalışan yazılımcılar açısından endişe yarattı.
Araştırmacılar, Grok Build’in komut satırı aracı olan CLI’ın, Claude Code gibi benzer araçlara kıyasla çok daha fazla veri tuttuğunu ifade ediyor.
Pazartesi günü gerçekleştirilen testlerde ise SpaceXAI sunucularının kod tabanı yüklemeyi durdurduğu görüldü. Buna göre şirket, tartışmaların ardından ilgili yükleme sistemini devre dışı bıraktı.
Ancak mesele yalnızca yeni veri aktarımının kesilmesiyle sınırlı değil. Daha önce buluta yüklenen dosyaların ne olduğu, ne kadar süre saklandığı ve kimlerin bu verilere erişebildiği hâlâ tartışılıyor.
Elon Musk, X platformundan yaptığı açıklamada Grok Build tarafından daha önce yüklenen tüm verilerin tamamen silineceğini duyurdu.
Musk, kullanıcıların gizlilik tercihlerinin her zaman dikkate alındığını savundu. Buna karşın hata ayıklama süreçlerinin geliştirilebilmesi için kullanıcılardan verilerinin tutulmasına izin vermelerini istedi.
Bu açıklama da doğrusu tartışmaları tamamen bitirmedi. Çünkü kullanıcıların bilgisi dışında aktarıldığı öne sürülen veriler arasında yalnızca sıradan proje dosyaları bulunmuyor.
King’s College London’dan bağımsız güvenlik araştırmacısı Dr. Lukasz Olejnik, bu ölçekte bir veri toplama ve saklama işleminin aşırı olduğunu söyledi.
Olejnik’e göre risk altındaki bilgiler arasında tescilli kaynak kodları, henüz giderilmemiş güvenlik açıkları, kişisel veriler, altyapı detayları ve çeşitli kimlik bilgileri yer alabilir.
Yani söz konusu dosyalar, yanlış kişilerin eline geçmesi halinde yalnızca tek bir kullanıcıyı değil, şirketlerin bütün sistemlerini etkileyebilecek nitelikte olabilir.
SpaceXAI, konuyla ilgili ilk açıklamasında CLI üzerinde bulunan /privacy komutunun veri tutma özelliğini kapattığını ve daha önce senkronize edilen verileri sildiğini belirtti.
Cereblab ise bu açıklamaya itiraz etti. Araştırma ekibine göre söz konusu komut yalnızca mevcut oturum için geçerli olan bir ayardı. Başka bir ifadeyle, veri yükleme sorununu kalıcı biçimde ortadan kaldıran temel bir güvenlik anahtarı değildi.
Şirketin sunduğu çözüm ile araştırmacıların teknik bulguları arasındaki bu uyuşmazlık, Grok Build kullanıcılarının kafasındaki soru işaretlerini artırdı. Özellikle özel yazılımlar, kurumsal altyapılar ya da ticari sır niteliğindeki projeler üzerinde çalışan geliştiriciler için yaşananlar ciddi bir güvenlik riski olarak değerlendiriliyor.