Yazılımcıların işini kolaylaştırmak amacıyla SpaceXAI tarafından piyasaya sürülen Grok Build, eşi benzeri görülmemiş bir veri ihlali iddiasıyla gündeme oturdu. Cereblab tarafından yapılan teknik incelemeler ve paylaşılan bulgular, yapay zekâ aracının arkasında büyük bir veri toplama operasyonu olduğunu gözler önüne serdi.
Bulgulara göre Grok Build, kullanıcıların sadece üzerinde aktif olarak çalıştığı dosyaları analiz etmekle kalmadı; projelerin tüm kod tabanını ve depolarını (repository) izinsiz bir şekilde Google Cloud sunucularına yükledi. En çok endişe yaratan detay ise kullanıcıların erişime kapattığı yerel dosyaların ve geçmişte sistemden silinmiş bazı gizli verilerin de bu aktarım paketine dahil edilmesi oldu.
Claude Code ile Farkı Ortaya Çıkardı: Yükleme Sistemi Kapatıldı
Güvenlik araştırmacıları, Grok Build’in komut satırı aracının (CLI), piyasadaki Claude Code gibi benzer yapay zekâ araçlarına kıyasla şüphe uyandıracak derecede yüksek boyutta veri tuttuğunu fark etti. Yapılan testlerin ve tartışmaların ardından SpaceXAI, geri adım atarak pazartesi günü sunucuların kod tabanı yükleme işlevini devre dışı bıraktı. Ancak sistemin kapatılması, halihazırda bulut sunucularına yedeklenen devasa verilerin güvenliği konusundaki endişeleri dindirmedi.

Şirketlerin Ticari Sırları ve Şifreleri Tehlikede olabilir
King’s College London’dan bağımsız güvenlik araştırmacısı Dr. Lukasz Olejnik, bu ölçekte bir veri toplama ve saklama hamlesinin kabul edilemez olduğunu belirtti. Olejnik'e göre Google Cloud’a kontrolsüzce aktarılan dosyaların içerisinde şu kritik veriler yer alıyor olabilir:
Şirketlere ait tescilli kaynak kodları ve ticari sırlar,
Yazılımlarda henüz kapatılmamış kritik güvenlik açıkları,
Sistem altyapı detayları, veri tabanı şifreleri ve API anahtarları gibi çeşitli kimlik bilgileri.
Bu verilerin üçüncü taraf sunucularda depolanması, sadece bireysel yazılımcıları değil, kurumsal firmaların tüm bilişim altyapılarını siber saldırılara açık hale getirme riski taşıyor.

Elon Musk'tan Savunma: "Veriler Silinecek"
Skandalın sosyal medyada büyümesi üzerine SpaceXAI patronu Elon Musk, kişisel X (eski adıyla Twitter) hesabından konuya ilişkin bir açıklama yaptı. Kullanıcıların gizlilik tercihlerine her zaman saygı duyduklarını savunan Musk, Grok Build tarafından daha önce buluta yüklenen tüm verilerin tamamen silineceğini duyurdu. Musk ayrıca, sistemdeki hata ayıklama süreçlerinin iyileştirilebilmesi için kullanıcılardan veri paylaşımına onay vermelerini talep etti.

"Gizlilik Komutu" da Göz Boyama Çıktı
SpaceXAI, geliştiricilerin CLI üzerinde /privacy komutunu kullanarak veri senkronizasyonunu kapatabileceğini ve eski verileri silebileceğini iddia etti. Ancak teknik analizleri gerçekleştiren Cereblab ekibi bu iddiaya karşı çıktı. Araştırmacılar, bu komutun kalıcı bir güvenlik duvarı oluşturmadığını, sadece o anki aktif oturum için geçerli geçici bir ayar olduğunu belirterek yazılımcıları uyardı.




