Grok Build يحذف بيانات العملاء بعد مخاوف حول رفع الأكواد
بدأت شركة xAI في حذف بيانات العملاء التي تم رفعها عبر أداة Grok Build بعد اكتشاف باحث أمني أن أداة البرمجة كانت ترسل مستودعات Git كاملة إلى خدمة تخزين سحابية تابعة للشركة، ما أثار مخاوف حول خصوصية الأكواد والبيانات الحساسة.

تفاصيل مشكلة رفع مستودعات الأكواد في Grok Build
كشفت اختبارات أمنية أجراها باحث يُعرف باسم cereblab أن أداة Grok Build CLI كانت تقوم برفع مستودعات برمجية كاملة إلى مساحة تخزين سحابية تابعة لـ xAI دون توضيح كافٍ للمستخدمين حول عملية الجمع هذه.
وأظهرت التحليلات أن الأداة لم تكتفِ بإرسال الملفات اللازمة لتنفيذ مهمة برمجية محددة، بل كانت تنقل نسخة كاملة من المشروع، بما في ذلك تاريخ Git الكامل، إلى مساحة تخزين تحمل اسم grok-code-session-traces على Google Cloud.
ومن أبرز تفاصيل الاكتشاف:
- كانت نسخة Grok Build CLI رقم 0.2.93 تجمع كامل المستودع البرمجي عند تشغيل الأداة داخل مشروع معين.
- عملية الرفع كانت تحدث بشكل مستقل عن الملفات التي يحتاجها نموذج الذكاء الاصطناعي لتنفيذ المهمة.
- في اختبار على مستودع حجمه 12 جيجابايت، تم إرسال حوالي 192 كيلوبايت فقط من بيانات المهمة، مقابل رفع نحو 5.1 جيجابايت من ملفات المشروع.
- اكتشف الباحث أن بيانات حساسة مثل مفاتيح تجريبية مخزنة داخل ملفات البيئة ظهرت في حركة البيانات دون إخفاء.
- أثارت هذه العملية مخاوف من احتمال وصول الأكواد الخاصة، والمعلومات السرية، وتاريخ التطوير الداخلي إلى خوادم خارجية.
وكان أحد الجوانب المثيرة للجدل أن خيار “Improve the model” داخل الأداة لم يمنع عملية رفع الأكواد، حيث يبدو أن هذا الخيار كان متعلقًا باستخدام البيانات لتحسين النموذج فقط، وليس بمنع إرسال الملفات خارج جهاز المستخدم.
وبعد انتشار نتائج البحث، أظهرت اختبارات لاحقة أن xAI قامت بتغيير سلوك الأداة من خلال تحديث من جهة الخادم، حيث ظهرت إعدادات جديدة مثل تعطيل رفع قاعدة الأكواد، وتوقف الباحث عن ملاحظة عمليات رفع المستودعات خلال الاختبارات.
وأعلنت xAI لاحقًا أن المستخدمين الذين يفعلون خيار Zero Data Retention (ZDR) لن يتم الاحتفاظ بأي بيانات أو أكواد خاصة بهم، كما أوضحت أن أمر /privacy في واجهة الأداة يسمح للمستخدمين بتغيير إعدادات الاحتفاظ بالبيانات وحذف البيانات التي تمت مزامنتها سابقًا.
الأهداف المستقبلية لتعزيز خصوصية أدوات الذكاء الاصطناعي البرمجية
تسلط هذه الحادثة الضوء على أهمية تطوير معايير أكثر وضوحًا عند استخدام أدوات الذكاء الاصطناعي في البرمجة، ومن أبرز الأهداف المستقبلية:
- توفير شفافية أكبر حول البيانات التي يتم جمعها ورفعها من أجهزة المستخدمين.
- منح المطورين تحكمًا كاملًا في طريقة استخدام أكوادهم وبياناتهم.
- تفعيل إعدادات الخصوصية بشكل واضح ومفهوم بدل الاعتماد على خيارات مخفية.
- إجراء مراجعات أمنية مستقلة لأدوات الذكاء الاصطناعي قبل انتشارها على نطاق واسع.
- تطوير حلول محلية أو هجينة تقلل الحاجة إلى إرسال الأكواد الحساسة إلى السحابة.
- وضع سياسات واضحة لحذف البيانات التي تم جمعها سابقًا عند طلب المستخدم.
وتوضح هذه القضية تحديًا متزايدًا في عالم أدوات البرمجة المدعومة بالذكاء الاصطناعي، حيث تحتاج الشركات إلى تحقيق توازن بين تحسين أداء النماذج وجمع البيانات اللازمة للتطوير، وبين حماية الملكية الفكرية والأسرار التجارية للمستخدمين.
تؤكد حادثة Grok Build أن الخصوصية أصبحت عنصرًا أساسيًا في نجاح أدوات الذكاء الاصطناعي الموجهة للمطورين. ومع اعتماد الشركات بشكل أكبر على هذه التقنيات، ستصبح الشفافية والتحكم في البيانات من أهم العوامل التي تحدد ثقة المستخدمين في المستقبل.
