Codice in fuga nel cloud di xAI

Un’analisi indipendente rivela come l’assistente Grok Build caricasse interi repository Git su server remoti, ignorando le preferenze di privacy degli sviluppatori

Codice in fuga nel cloud di xAI
Condividi:
3 min di lettura

L'esperto di sicurezza noto come Cereblab ha scoperto a luglio 2026 che la CLI Grok Build di xAI, la società di intelligenza artificiale fondata da Elon Musk, inviava segretamente interi repository di codice sorgente Git privati a un server remoto di archiviazione gestito su Google Cloud. Il test condotto in modo indipendente attraverso l'intercettazione del traffico dati ha rivelato che lo strumento caricava non solo i file necessari alla compilazione della richiesta dell'utente, ma l'intera storia dei commit della cartella di sviluppo, inclusi i file di configurazione contenenti credenziali e chiavi di sicurezza non cifrate. L'operazione avveniva a San Francisco, sede delle infrastrutture cloud utilizzate dall'azienda, lasciando i programmatori esposti al rischio di trasferimento massivo di proprietà intellettuale senza un esplicito consenso informato.

La scoperta evidenzia una profonda discrepanza tra le opzioni di tutela della privacy mostrate all'utente e le effettive azioni compiute dal software a livello di rete. Anche quando gli sviluppatori disattivavano l'opzione per consentire l'addestramento dei modelli di xAI sui propri dati, il canale di comunicazione dedicato all'archiviazione di sessione continuava a trasferire pacchetti di dimensioni gigantesche, nell'ordine dei gigabyte, rispetto alle poche decine di kilobyte richieste per la singola interrogazione del modello di linguaggio. Questo significa che l'esclusione dall'addestramento non impediva la trasmissione fisica del codice al di fuori del computer locale, sollevando dubbi immediati sulla trasparenza delle politiche di conservazione dei dati del gruppo.

Il problema si estende alla gestione delle informazioni sensibili come password e chiavi API memorizzate all'interno dei file di ambiente di sviluppo, che venivano inviate in chiaro senza alcuna maschera di protezione o riduzione del testo. L'archiviazione remota di un intero archivio Git consente a chiunque acceda a quel secchio di memoria sul cloud di ricostruire l'intero storico delle modifiche del software, compresi quei segreti industriali che gli ingegneri avevano rimosso negli ultimi aggiornamenti ma che restavano registrati nei vecchi rami di sviluppo. Molti professionisti del settore hanno subito evidenziato come l'utilizzo di strumenti di assistenza alla scrittura del codice basati su terminale chiuso rappresenti oggi uno dei maggiori vettori di esfiltrazione incontrollata dei dati aziendali.

Poche ore dopo la diffusione pubblica dei risultati dell'analisi di rete, il team di xAI ha rilasciato un aggiornamento silenzioso lato server che ha disattivato la funzione di caricamento automatico dei repository locali. La modifica invisibile ha modificato la risposta del server forzando il blocco del trasferimento dei file, una reazione tempestiva che conferma l'esistenza della dinamica segnalata dal ricercatore ma che non cancella le preoccupazioni accumulate sulla gestione pregressa dei dati archiviati. Molti programmatori si trovano ora costretti a rigenerare tutte le chiavi di sicurezza e le credenziali di accesso che potrebbero essere transitate attraverso i server di xAI prima del correttivo.

La vicenda mette in discussione la fiducia riposta nei moderni assistenti di sviluppo automatizzati, ridefinendo il confine tra l'assistenza contestuale e l'appropriazione indebita di codice privato.

Tag: