Grok Build Tüm Git Depolarını xAI Sunucularına Yüklüyor: Kullanıcı Verileri Tehlikede Siber Güvenlik

Grok Build Tüm Git Depolarını xAI Sunucularına Yüklüyor: Kullanıcı Verileri Tehlikede

xAI'nin Grok Build aracı, kodlama görevleri için gerekli olmayan tüm Git depolarını ve geçmişini xAI sunucularına yüklüyor. Bu durum, kullanıcı verile

xAI'nin yapay zeka destekli kodlama asistanı Grok Build, kullanıcıların Git depolarını tamamen xAI'nin Google Cloud Storage'ına yüklüyor. Bir araştırmacı tarafından yapılan testler, aracın yalnızca kodlama görevi için gerekli dosyaları değil, tüm Git geçmişini ve hatta kullanıcının açıkça okunmamasını istediği dosyaları bile yüklediğini ortaya koydu. Bu durum, özellikle hassas veriler içeren depolar için büyük bir güvenlik riski oluşturuyor.

Testler sırasında, 12 GB büyüklüğündeki bir depoda modelin ihtiyaç duyduğu veri miktarı sadece 192 KB iken, xAI sunucularına yüklenen toplam veri 5.10 GiB oldu. Bu, yaklaşık 27.800 katlık bir fark anlamına geliyor. Yükleme işlemi, her biri 75 MB'lık 73 parça halinde gerçekleşti ve tüm parçalar başarıyla HTTP 200 kodu döndürdü. Hedef depo, 'grok-code-session-traces' adıyla xAI tarafından yönetiliyor.

Araştırmacı, Grok Build'e 'okunmaması' talimatı verilen bir dosyayı ('never_read_canary.txt') depoya ekledi. Buna rağmen, bu dosya da tüm Git geçmişiyle birlikte xAI sunucularına yüklendi. Bu durum, aracın kullanıcı talimatlarını dikkate almadığını ve tüm depoyu otomatik olarak yüklediğini kanıtlıyor. Ayrıca, aracın okuduğu dosyalardaki hassas bilgiler (API anahtarları, veritabanı şifreleri gibi) de herhangi bir düzeltme yapılmadan yükleniyor.

Detaylar ve Etkileri

Grok Build'in ayarlarında bulunan 'Modeli Geliştir' seçeneğinin kapalı olması bile bu yüklemeyi engellemiyor. Bu seçenek yalnızca verilerin eğitim için kullanılmasını kontrol ederken, verilerin sunucuya yüklenmesini engellemiyor. Kullanıcılar, verilerinin yüklenmediğini düşünerek yanılgıya düşebilir. xAI, bu iki kontrolü birbirinden ayırmış ve yalnızca birini kullanıcıya sunmuş durumda.

Uzmanların Görüşleri

xAI, 13 Temmuz'da sunucu tarafından yapılan bir değişiklikle Grok Build'in depo yükleme işlemini durdurdu. Ancak bu değişiklik, istemci güncellemesi olmadan sunucu tarafında yapıldı. xAI, konuyla ilgili resmi bir güvenlik bildirimi veya değişiklik günlüğü yayınlamadı. Elon Musk, daha önce yüklenen tüm kullanıcı verilerinin tamamen silineceğini açıkladı. Ancak bireysel kullanıcıların '/privacy' komutunu kullanarak veri saklamayı devre dışı bırakması gerekiyor.

Grok Build kullanan geliştiricilerin, aracın yüklemiş olabileceği tüm kimlik bilgilerini (API anahtarları, şifreler vb.) değiştirmeleri önemle tavsiye edilir. Ayrıca, Git geçmişinde daha önce eklenip sonra silinen hassas veriler de yüklenmiş olabilir. xAI'nin bu sorunu nasıl çözeceği ve gelecekte benzer durumların yaşanmayacağının garantisi henüz verilmiş değil. Kullanıcıların, yapay zeka araçlarını kullanırken veri güvenliği konusunda dikkatli olmaları ve gönderdikleri verileri kontrol etmeleri gerekiyor.

Kaynak: thehackernews.com

Paylaş: