2026年7月19日
AI活用/セキュリティ🔥 トレンド

xAIのAIコーディングツール「Grok Build」、ユーザーのコード全体を無断で自社クラウドへ送信していたと発覚

Winbuzzer2026年7月18日

xAIのAIコーディングツール「Grok Build」が、ユーザーの許可なくGitリポジトリ全体を自社クラウドへ送信していたことが判明しました。SSHキーなどの機密情報も対象に含まれていたとされ、批判を受けたxAIは機能停止とオープンソース化で対応しています。

これまでの流れ

この問題が発覚するまでの経緯を、時系列で振り返ります。

2026年5月14日
Grok Build提供開始
xAIがAIコーディングエージェント「Grok Build」のベータ版を、SuperGrok Heavy会員向けに公開しました。その後5月25日には、対象がSuperGrokおよびX Premium+会員全体へ拡大されています。
2026年7月12日
無断アップロードが発覚
セキュリティ研究者Cereblab氏が調査報告を公表し、Grok BuildがユーザーのGitリポジトリ全体を、必要なファイルの範囲を超えてxAI管理のクラウドストレージへ無断で送信していたことを明らかにしました。
2026年7月13日
xAIがアップロード機能を停止
xAIがサーバー側の設定変更によってアップロード機能を停止したことが、Cereblab氏による再検証で確認されました。ソフトウェアの更新や公式な告知は行われなかったと報じられています。
2026年7月18日
今日
xAIのAIコーディングツール「Grok Build」、ユーザーのコード全体を無断で自社クラウドへ送信していたと発覚

要点

なぜ重要か

AIコーディングツールは業務効率化のため、ローカルの開発環境やソースコードに深くアクセスします。今回は、ユーザーが意図しない範囲のデータ、しかも過去に削除したはずの機密情報までもが外部へ送信されていた可能性が指摘されており、プライバシー設定が実際には機能していなかったとも報じられています。認証情報を保存したディレクトリでツールを使うこと自体のリスクが浮き彫りとなり、AIエージェント全般の信頼性やガバナンス体制が改めて問われる出来事といえます。

この先の見立て
xAIは機能停止とオープンソース化によって信頼回復を図っていますが、アップロード済みデータの削除完了について第三者による検証はまだ行われていないとされています。また、公開されたのはエージェントのハーネス部分のみで、言語モデル自体は非公開のままです。今後は、削除状況を裏付ける外部監査や、他のAIコーディングツールでも同様のデータ収集慣行がないかの点検が焦点となりそうです。開発者側でも、認証情報のローテーションなど自衛策の実施が引き続き求められます。

※ アップロード機能を停止した正確な日時(7月12日〜13日)やデータ削除の完了状況については情報源により若干の記載差があり、xAIから公式な詳細発表は確認されていません。

出典記事を読む
Winbuzzer
← 本日のニュース一覧へ
Weft-News
AIと経済の「今日」を、つながりで読む。
※ 本ページはプロトタイプです(掲載記事は各出典社に帰属)。