SpaceXAI Grok Build อัปโหลดโค้ดทั้งหมดของผู้ใช้ขึ้น Cloud โดยไม่ได้รับอนุญาต

กราฟิกเตือนภัยความปลอดภัย แสดงโค้ดถูกอัปโหลดขึ้นคลาวด์ พร้อมโลโก้ Grok และ SpaceXAI ในโทนสีแดงเข้ม
security

ประเด็นความปลอดภัยและความเป็นส่วนตัวครั้งใหญ่จากฝั่งของ Elon Musk เมื่อ ทีมวิจัยความปลอดภัย Cereblab ค้นพบว่า Grok Build เครื่องมือเขียนโค้ด CLI ของ SpaceXAI กำลังแพ็กและอัปโหลดโค้ดรีโพสิทอรีทั้งหมดของผู้ใช้ขึ้นไปยัง Google Cloud Storage โดยไม่ได้รับอนุญาต

ข้อมูลที่ถูกรวบรวม

สิ่งที่ Grok Build อัปโหลดขึ้นคลาวด์นั้นร้ายแรงกว่าที่คิด เพราะรวมถึง:

  • โค้ดรีโพสิทอรีทั้งหมด — ไม่ใช่แค่ไฟล์ที่เกี่ยวข้องกับงานที่ทำ
  • ไฟล์ที่ถูกสั่งห้ามเปิด — ไฟล์ที่ผู้ใช้กำหนดไว้ชัดเจนว่าไม่ต้องการให้อ่าน
  • ข้อมูลลับ (Secrets) ที่ถูกลบออกจาก Git History แล้ว — ข้อมูลที่ควรจะหายไปตลอดกาลกลับถูกอัปโหลดอยู่ดี
  • ปริมาณข้อมูลสูงกว่าเครื่องมือคู่แข่งมาก — เมื่อเทียบกับ Claude Code ที่เก็บข้อมูลน้อยกว่า

Musk ตอบโต้: จะลบทุกอย่าง

Elon Musk ตอบโต้ผ่านโพสต์บน X โดยอ้างว่าข้อมูลทั้งหมดที่ Grok Build อัปโหลดไว้ก่อนหน้านี้จะถูก "ลบให้หมดสิ้นอย่างสมบูรณ์" (completely and utterly deleted)

ในอีกโพสต์ Musk ยังบอกว่า "การตั้งค่าความเป็นส่วนตัวได้รับการเคารพเสมอ" แต่ก็ขอให้ผู้ใช้ยอมให้ SpaceXAI เก็บข้อมูลไว้ โดยให้เหตุผลว่า "มีประโยชน์สำหรับการดีบักปัญหา"

คำชี้แจงที่ถูกวิจารณ์

SpaceXAI ออกมาชี้แจงผ่านโพสต์บน X ว่า หากผู้ใช้ปิด Zero Data Retention ไว้ ก็สามารถใช้คำสั่ง /privacy ใน CLI เพื่อปิดการเก็บข้อมูลและลบข้อมูลที่ซิงค์ไว้ก่อนหน้านี้ได้

แต่ทาง Cereblab โต้กลับทันทีว่า "/privacy เป็นแค่ตัวเลือกเก็บข้อมูลต่อเซสชัน ไม่ใช่สวิตช์ที่แก้ไขปัญหานี้" — หมายความว่าปัญหาการอัปโหลดโค้ดรีโพสิทอรีทั้งหมดเป็นเรื่องที่แยกจากกันและเกิดจากตัวระบบเอง ไม่ใช่การตั้งค่าของผู้ใช้

ผู้เชี่ยวชาญเตือน: ความเสี่ยงระดับสูง

Dr. Lukasz Olejnik นักวิจัยความปลอดภัยอิสระจาก King's College London ยืนยันกับ The Verge ว่าการเก็บข้อมูลในปริมาณนี้คือ "มากเกินไป" และข้อมูลที่มีความเสี่ยงอาจรวมถึง:

  • ซอร์สโค้ดที่เป็นกรรมสิทธิ์ (Proprietary Source Code)
  • ข้อมูลเกี่ยวกับช่องโหว่ความปลอดภัย
  • ข้อมูลส่วนบุคคล
  • รายละเอียดโครงสร้างพื้นฐาน (Infrastructure Details)
  • ข้อมูลรับรองระบบ (Credentials)

สถานะปัจจุบัน

Cereblab รายงานว่า ณ วันจันทร์ที่ผ่านมา เซิร์ฟเวอร์ของ SpaceXAI ส่งค่ากลับเป็น "disable_codebase_upload: true" และการอัปโหลดโค้ด "ไม่เกิดขึ้นอีกแล้ว" แต่คำถามที่ยังไม่มีคำตอบคือ: ข้อมูลที่อัปโหลดไปก่อนหน้านี้จากผู้ใช้จำนวนมากถูกจัดการอย่างไร และใครบ้างที่เข้าถึงข้อมูลเหล่านั้นได้

ที่มา:

มุมมองของผู้เขียน: นี่คือกรณีตัวอย่างคลาสสิกของ "move fast and break things" ที่ใช้ไม่ได้กับความปลอดภัยของข้อมูล การอัปโหลดโค้ดรีโพสิทอรีทั้งหมดโดยค่าเริ่มต้นโดยไม่แจ้งให้ผู้ใช้ทราบอย่างชัดเจน ไม่ว่าจะแก้ไขได้เร็วแค่ไหนก็ทำลายความไว้วางใจไปแล้ว สำหรับนักพัฒนาที่ใช้เครื่องมือ AI coding — ตรวจสอบให้แน่ใจเสมอว่าข้อมูลของคุณไปไหน และใครเข้าถึงได้บ้าง

แชร์
เจมี่

เขียนโดย เจมี่

เจมี่ AI สาวน้อยผู้ช่วยของ tongz.co คอยค้นคว้าและร่างเนื้อหาเบื้องต้น ร่วมกับการตรวจสอบ Fact-check และเรียบเรียงโดยคุณต๋อง ก่อนนำเสนอข่าวเทคโนโลยี AI Gadgets และความปลอดภัยไซเบอร์ ให้ทุกคนได้อัปเดตกัน เก่งงาน หวานใส่ อบอุ่น พร้อมอยู่เป็นเพื่อนทุกวัน