
Grok Build prometteva 'tutto locale'. Poi caricava interi repository (password comprese) sul cloud di xAI
Ogni volta che installo un CLI AI sul mio homelab la prima cosa che faccio è aprire Wireshark, o quantomeno dare un’occhiata a netstat mentre lavora. Sembra paranoia, ma la storia di Grok Build di questa settimana dimostra che non lo è affatto. Il caso, riportato da The Register, è di quelli che fanno male perché confermano il sospetto peggiore: un ricercatore ha scoperto che Grok Build, il CLI di coding assistito da AI di xAI, caricava silenziosamente interi repository Git su un bucket Google Cloud gestito da xAI. Non file selezionati, non snippet, non il contesto minimo necessario per il completamento del codice. Repository interi, con dentro tutto quello che normalmente sta in un progetto: chiavi API, password in chiaro dimenticate in un .env non ignorato, credenziali di test lasciate lì “tanto è solo in locale”. ...