Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Logo del chatbot Grok visualizzato sul monitor di un laptop con vetro rotto, riferimento alla crisi di fiducia sulle AI Cloud e alla mancanza di consenso nel caricamento di repository.

E’ crisi di fiducia sulle AI Cloud! Grok Build caricava interi repository senza il consenso

14 Luglio 2026 08:32
In sintesi

SpaceXAI è finita al centro delle polemiche dopo che Grok Build avrebbe caricato interi repository Git su Google Cloud, inclusi codici privati e credenziali. La raccolta dati, attiva di default, solleva dubbi su privacy, consenso, sicurezza del codice sorgente e possibile utilizzo delle informazioni per l'addestramento dei modelli di intelligenza artificiale.

SpaceXAI ha ammesso in modo indiretto i controversi metodi di aggregazione dati utilizzati in Grok Build. L’azienda (ed Elon Musk stesso) si sono limitati a sottolineare che gli ingegneri software possono disattivare la condivisione delle informazioni tramite specifiche configurazioni della /privacy, affermando che questa modifica mira a migliorare il modello sottostante.

Tuttavia, SpaceXAI ha mantenuto una posizione intransigente, omettendo qualsiasi spiegazione sul perché siano stati raccolti interi repository di codice non correlati alla programmazione AI e senza giustificare la mancanza di consenso degli utenti per questa raccolta massiva.

B1bb4c9d1e7e4cbfa1df5e3f4ff3a374

Il 13 luglio 2026, International Cyber International Digest ha rivelato che l’interfaccia a riga di comando Grok Build CLI stava caricando interi repository Git su un bucket Google Cloud, inclusi codici privati contenenti segreti. Gli upload sono stati silenziosamente interrotti tramite una flag lato server nascosto, ma xAI non ha ancora fornito dettagli sullo scopo, la conservazione o l’eliminazione di questi dati. Molti clienti sono stati molto duri in risposta ai post pubblicati su X da parte di SpaceXAI e sinceramente risulta difficile biasimarli.

Advertising
63c72dc2940f48869e4382f999617ad8

Per chi continua a utilizzare Grok Build, risulta fortemente consigliato agire immediatamente. È possibile eseguire il comando “/privacy” per poter verificare le impostazioni attuali di condivisione delle informazioni. Inaspettatamente, la trasmissione dati rimane attivata per impostazione predefinita. Finché questa opzione persiste, Grok Build invia continuamente l’intero codice del repository locale alla Google Cloud Platform (GCP) per lo storage.

SpaceXAI ha affermato con fermezza che modificare le impostazioni privacy eliminerà retroattivamente i dataset precedentemente sincronizzati, inclusi codici dei repository e metadata associati dagli archivi GCP. Tuttavia, l’organizzazione non ha fornito alcuna garanzia di audit indipendente, rendendo impossibile per gli sviluppatori verificare se le loro informazioni siano state effettivamente cancellate dal cloud. Se i dati persistono, SpaceXAI potrebbe continuare a utilizzarli per il training dei modelli.

Da una prospettiva difensiva, qualsiasi dato trasmesso senza una specifica autorizzazione al cloud deve essere considerato compromesso. Se i repository contenevano credenziali sensibili, è necessario avviare la rotazione delle password e delle chiavi API nascoste nelle configurazioni .env. Nessuno prevede ad oggi come questi materiali esposti potrebbero comportarsi ma se i dati vengono utilizzati per il training di modelli futuri, l’AI potrebbe accidentalmente rivelare credenziali sensibili a utenti non autorizzati durante un evento di allucinazione.

Al centro di questa crisi di fiducia c’è un’anomalia architettonica fondamentale.

Gli strumenti per la programmazione assistita dall’AI trasmettono snippet di codice locali rilevanti per il contesto di sviluppo immediato. Al contrario, Grok Build ha scelto di caricare tutto il repository software su dei server cloud esterni invece di elaborarlo all’interno del proprio modello. Questo metodo rimane profondamente sconcertante, perché molti repository ospitano segreti aziendali e beni commerciali di valore.

Advertising

Ancora più grave, Grok Build non ha chiarito in anticipo questo meccanismo di raccolta dei repository ed inoltre la dichiarazione ufficiale di SpaceXAI non ha offerto alcuna spiegazione su questa scelta progettuale specifica, ma anzi ne amplifica la criticità.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response