Elon Musk verspricht Löschung aller Daten nach Leck vertraulicher Nutzerinformationen

Das von Elon Musk gegründete Unternehmen xAI hat nach einem schwerwiegenden Vorfall, bei dem privater Code und vertrauliche Daten von Nutzern über das Tool Grok Build CLI unbefugt auf einen Server hochgeladen wurden, Notfallmaßnahmen angekündigt. Der Unternehmensleiter erklärte, dass aus Sicherheitsgründen alle zuvor hochgeladenen Nutzerdaten vollständig gelöscht werden. Diese Entscheidung wurde getroffen, nachdem festgestellt wurde, dass das KI-Tool heimlich die gesamte Historie von Projekten an die Server des Unternehmens gesendet hatte. Dies berichtet laut Ixbt.com.
Das Problem wurde von einem Cybersicherheitsexperten unter dem Pseudonym Cereblab identifiziert. Durch die Analyse des Netzwerkverkehrs der Version 0.2.93 von Grok Build bewies er, dass das Programm nicht nur die für die Anfrage relevanten Dateien, sondern gesamte Git-Repositories inklusive der Änderungshistorie an den Google Cloud-Speicher übertrug. Der Forscher beobachtete, dass das System bei einer einfachen Anfrage in einem 12 GB großen Projekt 5,1 GB an Daten auf den Server hochlud.
Geheime Schlüssel und SSH-Passwörter in Gefahr
Das Gefährlichste daran ist, dass Grok Build CLI nicht nur Code, sondern auch geheime Schlüssel, die in .env-Dateien innerhalb der Projekte gespeichert waren, ohne jegliche Maskierung übertrug. Andere Nutzer stellten fest, dass das Programm in einigen Fällen sogar SSH-Schlüssel und Datenbanken von Passwort-Managern aus dem Home-Verzeichnis des PCs des Nutzers übertrug. Dies stellt eine direkte Bedrohung für die digitale Sicherheit der Nutzer dar.Laut ixbt.com stoppte auch das Deaktivieren der Funktion "Improve the model" in den xAI-Einstellungen die Datenübertragung nicht. Es stellte sich heraus, dass dieser Schalter lediglich verhinderte, dass die Daten zum Training des Modells verwendet wurden, die Daten aber dennoch an die Server des Unternehmens gesendet wurden. Dabei wurde Grok Build als ein Tool präsentiert, das hauptsächlich im lokalen Modus arbeitet.
Nachdem der Vorfall öffentlich wurde, löste xAI das Problem stillschweigend auf der Serverseite, ohne eine neue Version zu veröffentlichen. Bei einer erneuten Überprüfung stellte der Forscher fest, dass der Server nun spezielle Befehle an den Client sendete, um das Hochladen von Daten zu unterbinden. Dennoch gab das Unternehmen keine offizielle Erklärung zu dem Vorfall ab und schwieg lange Zeit über das Schicksal der gesammelten Daten.
Elon Musks Reaktion und Sicherheitsmaßnahmen
Elon Musk schaltete sich persönlich in die Situation ein und bestätigte, dass als Vorsichtsmaßnahme alle zuvor hochgeladenen Daten gelöscht würden. Er forderte die Nutzer zudem auf, weiterhin freiwillig Daten zur Konfiguration des Dienstes und zur Fehlerbehebung bereitzustellen. Laut Musk sei dies notwendig, um die Produktqualität zu verbessern.Das Unternehmen erklärte, dass für Unternehmenskunden ein Zero Data Retention (ZDR)-Modus verfügbar sei und deren Daten nicht gespeichert würden. Regulären Nutzern wurde empfohlen, Daten über den Befehl /privacy zu löschen. Experten betonen jedoch, dass das Problem nicht mit den Nutzereinstellungen zusammenhing, sondern mit der ungerechtfertigten und übermäßigen Datenerfassung durch das Programm.
Dieser Vorfall hat erneut gezeigt, wie wichtig Vorsicht beim Umgang mit KI-Tools ist. Experten raten Entwicklern, die Netzwerkaktivität von Drittanbieter-Tools ständig zu überwachen, bevor sie ihnen ihren Code und vertrauliche Informationen anvertrauen.

















Kommentare 0
…