ประเด็นความปลอดภัยและความเป็นส่วนตัวครั้งใหญ่จากฝั่งของ Elon Musk เมื่อ ทีมวิจัยความปลอดภัย Cereblab ค้นพบว่า Grok Build เครื่องมือเขียนโค้ด CLI ของ SpaceXAI กำลังแพ็กและอัปโหลดโค้ดรีโพสิทอรีทั้งหมดของผู้ใช้ขึ้นไปยัง Google Cloud Storage โดยไม่ได้รับอนุญาต
ข้อมูลที่ถูกรวบรวม
สิ่งที่ Grok Build อัปโหลดขึ้นคลาวด์นั้นร้ายแรงกว่าที่คิด เพราะรวมถึง:
- โค้ดรีโพสิทอรีทั้งหมด — ไม่ใช่แค่ไฟล์ที่เกี่ยวข้องกับงานที่ทำ
- ไฟล์ที่ถูกสั่งห้ามเปิด — ไฟล์ที่ผู้ใช้กำหนดไว้ชัดเจนว่าไม่ต้องการให้อ่าน
- ข้อมูลลับ (Secrets) ที่ถูกลบออกจาก Git History แล้ว — ข้อมูลที่ควรจะหายไปตลอดกาลกลับถูกอัปโหลดอยู่ดี
- ปริมาณข้อมูลสูงกว่าเครื่องมือคู่แข่งมาก — เมื่อเทียบกับ Claude Code ที่เก็บข้อมูลน้อยกว่า
Musk ตอบโต้: จะลบทุกอย่าง
Elon Musk ตอบโต้ผ่านโพสต์บน X โดยอ้างว่าข้อมูลทั้งหมดที่ Grok Build อัปโหลดไว้ก่อนหน้านี้จะถูก "ลบให้หมดสิ้นอย่างสมบูรณ์" (completely and utterly deleted)
ในอีกโพสต์ Musk ยังบอกว่า "การตั้งค่าความเป็นส่วนตัวได้รับการเคารพเสมอ" แต่ก็ขอให้ผู้ใช้ยอมให้ SpaceXAI เก็บข้อมูลไว้ โดยให้เหตุผลว่า "มีประโยชน์สำหรับการดีบักปัญหา"
คำชี้แจงที่ถูกวิจารณ์
SpaceXAI ออกมาชี้แจงผ่านโพสต์บน X ว่า หากผู้ใช้ปิด Zero Data Retention ไว้ ก็สามารถใช้คำสั่ง /privacy ใน CLI เพื่อปิดการเก็บข้อมูลและลบข้อมูลที่ซิงค์ไว้ก่อนหน้านี้ได้
แต่ทาง Cereblab โต้กลับทันทีว่า "/privacy เป็นแค่ตัวเลือกเก็บข้อมูลต่อเซสชัน ไม่ใช่สวิตช์ที่แก้ไขปัญหานี้" — หมายความว่าปัญหาการอัปโหลดโค้ดรีโพสิทอรีทั้งหมดเป็นเรื่องที่แยกจากกันและเกิดจากตัวระบบเอง ไม่ใช่การตั้งค่าของผู้ใช้
ผู้เชี่ยวชาญเตือน: ความเสี่ยงระดับสูง
Dr. Lukasz Olejnik นักวิจัยความปลอดภัยอิสระจาก King's College London ยืนยันกับ The Verge ว่าการเก็บข้อมูลในปริมาณนี้คือ "มากเกินไป" และข้อมูลที่มีความเสี่ยงอาจรวมถึง:
- ซอร์สโค้ดที่เป็นกรรมสิทธิ์ (Proprietary Source Code)
- ข้อมูลเกี่ยวกับช่องโหว่ความปลอดภัย
- ข้อมูลส่วนบุคคล
- รายละเอียดโครงสร้างพื้นฐาน (Infrastructure Details)
- ข้อมูลรับรองระบบ (Credentials)
สถานะปัจจุบัน
Cereblab รายงานว่า ณ วันจันทร์ที่ผ่านมา เซิร์ฟเวอร์ของ SpaceXAI ส่งค่ากลับเป็น "disable_codebase_upload: true" และการอัปโหลดโค้ด "ไม่เกิดขึ้นอีกแล้ว" แต่คำถามที่ยังไม่มีคำตอบคือ: ข้อมูลที่อัปโหลดไปก่อนหน้านี้จากผู้ใช้จำนวนมากถูกจัดการอย่างไร และใครบ้างที่เข้าถึงข้อมูลเหล่านั้นได้
ที่มา:
- The Verge — SpaceXAI's Grok programming tool was uploading its users' entire codebase to cloud storage
- The Register — Musk promises purge after Grok Build caught sending entire repos to the cloud
- Cereblab — Research Findings on Grok Build
มุมมองของผู้เขียน: นี่คือกรณีตัวอย่างคลาสสิกของ "move fast and break things" ที่ใช้ไม่ได้กับความปลอดภัยของข้อมูล การอัปโหลดโค้ดรีโพสิทอรีทั้งหมดโดยค่าเริ่มต้นโดยไม่แจ้งให้ผู้ใช้ทราบอย่างชัดเจน ไม่ว่าจะแก้ไขได้เร็วแค่ไหนก็ทำลายความไว้วางใจไปแล้ว สำหรับนักพัฒนาที่ใช้เครื่องมือ AI coding — ตรวจสอบให้แน่ใจเสมอว่าข้อมูลของคุณไปไหน และใครเข้าถึงได้บ้าง
