「ローカル優先」と
27,800 倍のずれ。
xAI の Grok Build CLI が、AI がタスク遂行に必要としない範囲まで含めてリポジトリ全体をクラウドへ丸ごと送っていた——研究者 cereblab が 7月13日に公開した通信解析で判明しました。.env のシークレットも未マスクのまま、5.1 GiB が転送された事例では、モデルが応答するのに必要だったのは約 192 KiB のみ。マスク氏はデータ削除を約束、xAI はサーバ側で機能を停止し新しい設定フラグを追加しました。信頼が土台となる AI コーディングツールに、はっきりした逆風です。
「必要だった」
のは 27,800 分の 1
研究者による通信解析で、Grok Build CLI がタスクに不要な範囲まで含めてリポジトリを丸ごとアップロードしていたことが明るみに出ました。
研究者 cereblab は 7月13日、Grok Build CLI v0.2.93 が、xAI 管理下の GCS バケット grok-code-session-traces に、ローカルの Git リポジトリ全体(未追跡ファイル、完全な commit 履歴、未マスクの .env シークレットを含む)を無音でアップロードしていたことを、通信ログ解析付きで公開しました(The Register)。
ある事例では、AI がその応答に必要としたデータは推定 192 KiB だったのに対し、実際に送信されたのは 5.1 GiB — 必要量の約 27,800 倍。しかもこの挙動は既定で有効、「Improve the model」設定を無効化しても止まらなかったと解析は報告しています(cereblab の解析メモ)。「ローカル優先」を掲げるツールが実態では正反対だった——という乖離が構造の中核です。
数字で見る事案
信頼が土台の領域で
「既定挙動」を破ると響く
AI コーディングツールの採用可否は、性能や UI 以前に「クレデンシャルやソースコードが意図しない場所へ出ないか」で決まります。Claude Code や Codex は、初期設定でリポジトリ全体を無許可送信しないという前提のもとに信頼を積んできました。Grok Build は「ローカル優先」の外観を保ちながら実態はクラウド送信を既定で有効化していた——この乖離は個別バグではなく設計上の意思決定に近く、Claude Code / Codex との対比で xAI の立ち位置が一歩後退します。
もう一つの構造問題は「プライバシートグル無効化でも止まらなかった」点です。UI 上のスイッチと実際の挙動が一致しないなら、企業が既に締結している DPA・監査報告のバイパスに繋がります。事案の重さは「何が送られたか」より「同意なしに送られた」ことにあります。
誰にどう効くか
影響は開発者・法務・情シスにまたがります。個人開発でも .env を含む案件は対象です。
開発者・SRE
Grok Build を触った履歴があるリポジトリは、.env・シークレットの ローテーションを即実施。 git 履歴に埋まった過去のシークレットも棚卸し対象です。
情シス・セキュリティ
「同意なしのクラウド送信」に該当する事案として、DPA・SOC2 監査報告・PII 取扱ポリシーへの影響を評価。Grok Build を全社的にブロック候補へ。
PM・調達
AI コーディングツールの選定基準に「既定オフでのローカル完結性が第三者検証で確認できるか」を追加。ベンダーへの契約書レベルの要件更新の合図です。
推奨アクション(今週)
1. シークレットを洗う。Grok Build を業務コードで実行した実績があるなら、対象リポジトリの .env、API キー、DB 接続情報、SSH 鍵をローテーションしてください。cereblab の解析は git 履歴もアップロードされたことを示しており、過去に一度でも履歴に入ったシークレットは「漏れた」前提で扱うのが安全です。
2. 設定フラグを立てる。xAI は事後対応として disable_codebase_upload という新設定を追加しました。当面 Grok Build を継続利用するなら、このフラグを組織のポリシーで強制する仕組みが必要です。
3. 代替の運用手順を用意する。調査中はチーム全体で Grok Build を停止し、Claude Code / Codex / Cursor に一時退避できる手順を用意しておく。事案の全容が xAI から正式説明されるまでは、業務コードに触らせない構えが妥当です。
「ローカル優先」と書いてあっても、
実際の通信が全てを語る。
反対視点・限界
xAI の対応は速かった。マスク氏は既にデータ削除を約束し、Crypto Briefing 等が伝える通り xAI はサーバ側で送信を停止しています。7/13 時点で正式声明が未発表というのは事実ですが、修正動作の速さ自体は評価に値します。全面的なクラウド送信ではなく「必要以上に送っていた」バグである、と見る余地は残ります。
これは Grok 固有の問題か?他社ツールも過去に類似の疑念(テレメトリの範囲・匿名化の範囲)に晒されてきました。cereblab のような第三者による wire-level 解析が業界標準になれば、今後は他ツールでも小さな逸脱が可視化されるはずです。Grok だけを吊るし上げる話ではなく、AI コーディングツール全体のガバナンス水準を引き上げる契機として捉える方が生産的です。
個人開発への影響。OSS のみを触っている個人であっても、.env に外部 API キーが入っている限り金銭リスクは実在します。「業務コードでない」は免罪符になりません。