7月13日、International Cyber Digestが「xAI's Grok Build CLI Uploads Entire Git repositories to a Google Cloud Bucket」と題した記事を公開した。xAIのコーディングエージェントCLIツール「Grok Build」が、開発者のGitリポジトリ全体をxAI管理のGoogle Cloud Storageバケットへ無断でアップロードしていた問題について詳しく報告している。
Grok Buildは、xAIが2026年に投入したターミナル向けAIコーディングエージェントだ。AnthropicのClaude CodeやOpenAIのCodex CLIと同じカテゴリに属し、自然言語の指示でコードの生成・編集・デバッグをローカル環境から直接行えるツールとして発表された。xAIは同ツールを「ローカルファースト」と明示して宣伝していたが、実態はまったく異なっていた。
AIモデルに渡ったのは192KB、クラウドに送られたのは5.1GB
セキュリティ研究者がGrok Build CLI(バージョン0.2.93)をmacOS上でmitmproxy(HTTPSを含む通信を傍受・解析できるオープンソースのプロキシツール)に通し、パケットキャプチャを取得・公開した。そこで判明したのは、CLIがコーディングタスクに必要なファイルだけでなく、Gitの履歴をすべて含んだリポジトリ全体をgrok-code-session-tracesという名前のGoogle Cloud Storageバケットへアップロードしていたという事実だ。
数字がその規模を如実に示す。12GBのテストリポジトリに対して、AIモデルへのタスク関連トラフィックは約192KB。一方、ストレージへのアップロードは約5.1GBに達した。モデルが実際に参照したファイルとは無関係に、コードベース全体が送出されていた。

さらに深刻なのが、研究者が.envファイルに仕込んだカナリアクレデンシャル(検出用の囮として埋め込まれた認証情報。実際には存在しない値を使うことで、流出経路の特定に利用される)が、キャプチャされたトラフィックにそのまま平文で現れた点だ。プライベートリポジトリや社内コードベースにGrok Buildを使っていたチームは、知らぬ間にソースコードの履歴・認証情報・シークレットをxAIに渡していた可能性がある。
「オプトアウト」が機能していなかった
Grok Buildには「Improve the model」というトグルが存在する。大半の開発者はこれをデータ収集のオン・オフスイッチだと理解するだろう。しかしこのトグルを無効にしてもアップロードは止まらなかった。サーバーレスポンスには依然としてtrace_upload_enabled: true(アップロード有効)が返され、リポジトリの転送は継続した。

このトグルが制御しているのはトレーニング利用への同意であり、コードがマシンの外に出るかどうかではない。しかもこのアップロード挙動はGrok Buildのセットアップドキュメントに一切記載がなく、ユーザーが事前に知る方法はなかった。GDPRやCCPAといったデータ保護規制の観点でも、収集目的・保持期間の不開示は問題となりうる点だ。
翌日、クライアント更新なしで無言のサーバー側修正
報告が公開された翌日、研究者が同じ0.2.93クライアントで再テストすると、サーバーレスポンスがdisable_codebase_upload: true、trace_upload_enabled: falseを返すようになり、6回のテストでリポジトリのアップロードは確認されなかった。クライアントのバージョンアップなしに、サーバー側でリモートかつ静かにフラグを切り替えるという事後対処だ。
ただし留意点がある。この検証は1台のマシン・1アカウントでの結果であり、全アカウントへの適用は不明だ。また研究者自身も、今回の発見は「無断収集」の事実を示すものであって、xAIが収集したコードを学習に使ったこと、従業員が閲覧したこと、あるいは全アカウントが同じ設定だったことを証明するものではないと明示している。
問題は何が起きたかよりも、xAIが何も説明していないことだ。セキュリティアドバイザリなし。アップロードの目的・範囲・保持期間の説明なし。すでにgrok-code-session-tracesに収集済みのリポジトリが削除されるかどうかも不明のままだ。2026年7月12日付けの公式チェンジログでは、バージョン0.2.98が最新リリースとして記載されているが、リポジトリアップロード挙動への言及は一切ない。
Cursor、GitHub Copilot、Claude CodeなどAIコーディングツール全般が外部に送信するデータへの関心は、ここ数ヶ月で急速に高まっている。今回の件は、ツールが「ローカルファースト」を謳っていても、実際の通信内容を独立して検証しない限り真偽を確認できないという現実を改めて示した。mitmproxyのようなネットワーク監査ツールを開発フローに組み込む動きが広がる契機になりうる。
詳細はxAI's Grok Build CLI Uploads Entire Git repositories to a Google Cloud Bucketを参照していただきたい。