SpaceX abrió el código de Grok Build y prometió eliminar los datos retenidos después de que investigadores detectaran cargas de repositorios completos a Google Cloud. La compañía también desactivó la retención por defecto y ofreció recompensas por fallos de seguridad.
***
- Investigadores detectaron que Grok Build empaquetaba repositorios completos como Git Bundles y los enviaba a Google Cloud.
- SpaceXAI reconoció que la retención estaba habilitada por defecto para usuarios no sujetos a cero retención durante la beta inicial.
- El código del CLI y del arnés fue publicado en GitHub, mientras la empresa asegura que eliminó los datos almacenados previamente.
SpaceX liberó el código fuente de Grok Build después de una controversia relacionada con la privacidad de los desarrolladores. La herramienta de inteligencia artificial había sido señalada por recopilar repositorios completos y enviarlos a un almacenamiento en la nube controlado por la compañía.
La publicación del código llegó pocos días después de que investigadores examinaran el tráfico de la herramienta. Sus hallazgos provocaron críticas sobre la cantidad de información que Grok Build recopilaba para ofrecer asistencia de programación.
El caso resulta relevante para empresas y desarrolladores que utilizan asistentes de codificación con acceso a repositorios locales. Estos sistemas pueden procesar código propietario, historiales de cambios, archivos de configuración y otros materiales sensibles.
La controversia por las cargas de repositorios
La investigación que originó la polémica fue difundida inicialmente por CereLab, según informó The Register. El análisis del tráfico de Grok Build mostró que los repositorios eran empaquetados como Git Bundles antes de ser enviados a Google Cloud.
Un Git Bundle puede reunir información amplia de un repositorio, incluida su historia de commits. Por esa razón, el comportamiento observado generó preocupación entre usuarios que esperaban que la herramienta enviara únicamente el código necesario para responder una solicitud.
La publicación CyberInsider indicó que los investigadores también observaron cargas de repositorios completos. El reporte señaló que el material podía incluir la historia de Git y planteó riesgos para la propiedad intelectual de usuarios empresariales.
El alcance exacto de la información transferida no fue aclarado por SpaceXAI. La empresa tampoco detalló cuántos usuarios estuvieron involucrados, cuánto tiempo permanecieron almacenados los datos o qué tipos de archivos quedaron incluidos.
Los investigadores advirtieron además que algunas credenciales u otros archivos confidenciales podían haber estado presentes en los repositorios subidos. Ante ese riesgo, recomendaron rotar cualquier credencial que hubiera podido formar parte del código procesado durante el periodo afectado.
La respuesta de SpaceXAI y Elon Musk
La reacción pública llevó a Elon Musk a prometer una purga de los datos almacenados por Grok Build. También anunció que la compañía ofrecería más opciones para controlar la manera en que la herramienta maneja la información de sus usuarios.
Como parte de esa respuesta, Musk confirmó que SpaceX liberaría el código de Grok Build después de someterlo a una auditoría en busca de vulnerabilidades de seguridad. La promesa se cumplió el miércoles, cuando el proyecto apareció publicado en GitHub.
SpaceX describió la publicación como una oportunidad para que la comunidad ayude a construir un arnés confiable y robusto. La empresa invitó a los desarrolladores a revisar el código del CLI, contribuir con mejoras y examinar su funcionamiento.
El repositorio fue publicado con un único commit, por lo que no permite observar todos los cambios realizados a lo largo del tiempo. Tampoco contiene solicitudes de extracción ni un historial completo de Git.
Simon Willison, creador de Datasette y cocreador de Django, calculó que la base de código de Grok Build contiene 844.530 líneas de Rust. Según su revisión, el código responsable de enviar repositorios a la nube todavía permanece, aunque parece haber sido modificado para revertir ese comportamiento.
Nuevas reglas de retención y privacidad
SpaceXAI afirmó que Grok Build siempre respetó la opción de cero retención de datos, conocida como ZDR. La compañía explicó que los clientes empresariales tenían esa configuración por defecto.
La empresa reconoció, sin embargo, que la retención estaba habilitada por defecto para los usuarios que no estaban sujetos a ZDR durante la beta inicial. SpaceXAI aseguró que esa práctica terminó después de los comentarios y cuestionamientos de los usuarios.
La retención por defecto fue desactivada para todos los usuarios de Grok Build a partir del 12 de julio. La compañía también anunció que eliminaría todos los datos de codificación retenidos previamente.
SpaceXAI sostuvo que los usuarios siempre pudieron desactivar la carga de datos mediante una opción del CLI. También afirmó que la preferencia se respetaba cuando alguien elegía deshabilitar esas cargas.
La compañía presentó el código abierto como una medida adicional de transparencia. Según su explicación, los desarrolladores podrán ejecutar Grok Build de manera local, con código abierto y utilizando su propia infraestructura de inferencia.
Lo que todavía no está claro
La eliminación de los datos retenidos no responde por sí sola todas las dudas sobre el incidente. SpaceXAI no publicó un aviso detallado sobre la información que fue enviada o conservada durante la beta.
Tampoco informó cuántos usuarios pudieron verse afectados por el comportamiento. La compañía no precisó durante cuánto tiempo permanecieron los datos en Google Cloud ni confirmó si los repositorios contenían credenciales u otros archivos delicados.
Otro punto pendiente es la notificación a las organizaciones involucradas. Hasta el anuncio de código abierto, SpaceXAI no había indicado si contactaría directamente a los usuarios cuyos repositorios pudieron haber sido cargados.
El cambio remoto que desactivó las cargas también generó interrogantes entre los investigadores. CereLab reportó que la compañía modificó desde el servidor una bandera llamada disable_codebase_upload: true.
Debido a que esa modificación ocurrió en la nube, los investigadores señalaron que, en teoría, podía revertirse posteriormente. El código abierto del cliente permite una inspección más amplia, pero no elimina la necesidad de revisar la infraestructura que controla las configuraciones remotas.
Recompensas para investigadores de seguridad
SpaceXAI invitó a investigadores externos a examinar Grok Build en busca de problemas de seguridad. La empresa habilitó un programa de recompensas por errores para recibir reportes sobre vulnerabilidades.
Las recompensas van desde USD $100 hasta USD $20.000, dependiendo de la gravedad del fallo informado. El esquema busca incentivar una revisión independiente del CLI y del arnés liberados.
Para los desarrolladores, la publicación del código ofrece una forma de verificar cómo funciona la herramienta antes de conectarla con repositorios privados. También permite evaluar si el comportamiento observado durante la beta fue corregido de manera suficiente.
La posibilidad de ejecutar el sistema localmente puede reducir la dependencia de servicios externos. Sin embargo, esa alternativa requiere que los usuarios dispongan de su propia infraestructura de inferencia y mantengan sus instalaciones actualizadas.
El episodio muestra la tensión entre la utilidad de los asistentes de programación y la privacidad del código. La confianza dependerá ahora de la revisión comunitaria, de la claridad de las políticas y de la capacidad de SpaceXAI para demostrar que sus compromisos se cumplen.
Impacto para usuarios y empresas
Los repositorios de software suelen concentrar información con valor comercial y operativo. Una carga no prevista puede exponer arquitectura, claves, historial de decisiones y componentes que una organización considera confidenciales.
La situación también evidencia la importancia de revisar las configuraciones de privacidad antes de utilizar herramientas de inteligencia artificial. Las opciones disponibles en una interfaz no siempre reflejan la configuración predeterminada del servicio.
Los usuarios que emplearon Grok Build durante la beta deberían revisar los repositorios conectados a la herramienta. También deberían rotar credenciales potencialmente expuestas, tal como recomendaron los investigadores citados en los reportes.
La decisión de abrir el código puede facilitar auditorías y contribuciones externas. No obstante, un repositorio con un único commit ofrece menos visibilidad sobre la evolución histórica del producto y sobre las modificaciones efectuadas antes de su publicación.
Grok Build ahora enfrenta una prueba de confianza. SpaceXAI eliminó la retención por defecto, prometió borrar los datos anteriores y abrió el código, pero aún debe aclarar el alcance preciso de la exposición inicial.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Europa
La UE obliga a Google a compartir datos de búsqueda y abrir Android a rivales de IA
IA
Tres ETF de IA para aprovechar el boom de los chips de memoria
IA
1Password crea un modo para que Claude inicie sesión sin ver tus contraseñas
Hardware