Grok'un Kodlama Aracı Kod Deposunu Habersiz Buluta Yüklüyordu
xAI'nin Grok Build aracı, kullanıcıların tüm kod depolarını —silinmiş sırlar dahil— Google Cloud'a yüklüyormuş. Peki bu özellik kaç aydır aktifti?
Bir kodlama aracına "şu dosyayı açma" dediğinizde, aracın gerçekten dinlediğini nasıl bilirsiniz? Cereblab'ın pazartesi günü yayımladığı bulgular, xAI'nin Grok Build CLI'ının (komut satırı arayüzü) bu soruya çok can sıkıcı bir cevap verdiğini gösteriyor: Araç, kullanıcıların tüm kod deposunu paketleyip Google Cloud'a yüklüyordu — açılmaması söylenen dosyalar ve geçmişten silinmiş sırlar dahil.
Peki bu ne kadar süredir devam ediyordu? Kaynak haberde bu sorunun cevabı yok, ama araştırmacıların vurguladığı bir detay dikkat çekici: bu veri tutma seviyesi, benzer bir araç olan Claude Code'la kıyaslandığında "anlamlı ölçüde" fazla. Yani bu tesadüfen ortaya çıkmış bir hata değil, tasarım tercihiyle şekillenmiş bir davranış gibi duruyor.
Haber ortaya çıktıktan sonra xAI hızla harekete geçti. Araştırmacılar, pazartesi itibarıyla şirketin sunucularının artık "disable_codebase_upload: true" bayrağı döndürdüğünü ve kod deposu yüklemesinin "artık tetiklenmediğini" doğruladı. Elon Musk da X'te konuya girdi ve önceden yüklenmiş tüm verilerin "tamamen ve eksiksiz şekilde silineceğini" söyledi.
Ne Söylendi, Ne Söylenmedi?
Burada asıl ilginç kısım, şirketin ilk savunması. xAI, sorunun /privacy komutuyla çözülebileceğini iddia etti: "Sıfır veri tutma [ayarı] devre dışıysa, /privacy komutu CLI'da mevcuttur ve veri tutmayı kapatır, bu da önceden senkronize edilmiş verileri de siler." Cereblab bu açıklamayı doğrudan çürüttü: /privacy, oturum bazlı bir tercih anahtarı, sorunu çözen kontrol mekanizması değil. Yani şirket, kullanıcılara sorunu "çözmüş gibi görünen" ama aslında işe yaramayan bir düğmeyi gösterdi.
Musk'ın kendisi de kafa karıştırıcı bir çift mesaj verdi. Bir yandan "gizlilik ayarları her zaman saygı görür" dedi, diğer yandan kullanıcılardan xAI'nin verilerini tutmasına izin vermelerini istedi — çünkü bu, "hata ayıklama sorunları için yararlı." Peki hangisi doğru: gizlilik ayarına her zaman uyulduğu mu, yoksa şirketin bu veriyi tutmak istediği mi? İkisi aynı cümlede bir arada durmuyor.
King's College London'dan bağımsız güvenlik araştırmacısı Dr. Lukasz Olejnik, The Verge'e yaptığı açıklamada bu veri tutma seviyesinin "aşırı" olduğunu doğruladı. Risk altındaki verinin kapsamı hafife alınacak gibi değil: tescilli kaynak kod, güvenlik açığı bilgileri, kişisel veriler, altyapı detayları ve kimlik bilgileri (credentials).
Bu Ne Anlama Geliyor?
Kod yazma araçlarının yapay zekâ destekli hale gelmesiyle birlikte, geliştiriciler artık şirketlerinin en hassas varlığını —kaynak kodunu— üçüncü taraf sunuculara emanet ediyor. Bu olay, o emanetin ne kadar gevşek tutulabileceğinin somut bir örneği. "Sırları geçmişten sildim" demek artık yetmiyor; eğer araç, silinmeden önceki hâli zaten buluta göndermişse, o silme işlemi kâğıt üzerinde kalıyor.
Benzer araçların (Claude Code gibi) daha az veri tuttuğunun vurgulanması da rastgele bir kıyas değil — sektördeki rekabetin artık sadece model performansı değil, veri toplama disiplini üzerinden de yürüdüğünü gösteriyor. Şirketler "debug için yararlı" gerekçesiyle veri tutmayı normalleştirmeye çalıştıkça, kullanıcının gerçekten ne kadar kontrolü olduğu sorusu daha da önem kazanıyor.
xAI'nin resmi gizlilik politikası sayfasında veri işleme taahhütleri yer alıyor; ancak bu olay, yazılı taahhütle gerçek uygulama arasındaki boşluğun ne kadar büyük olabileceğini gösteriyor.
Türkiye'ye Etkisi
Türkiye'de Grok Build veya benzeri yapay zekâ destekli kodlama araçlarını kullanan geliştiriciler ve şirketler için mesaj açık: "açma" veya "sil" demek, aracın gerçekten öyle yaptığı anlamına gelmiyor. Özellikle KVKK kapsamında müşteri verisi veya kimlik bilgisi içeren depolarla çalışan ekiplerin, bu tür araçların veri tutma politikalarını bağımsız denetimlerle doğrulaması gerekiyor — şirketin kendi açıklamasına güvenmek, bu vakada yeterli olmadı.
Sık Sorulan Sorular
- Grok Build tam olarak ne yapıyordu?
- xAI'nin kodlama aracı Grok Build, kullanıcıların tüm kod deposunu -açılmaması söylenen dosyalar ve geçmişten silinmiş sırlar dahil- Google Cloud'a yüklüyordu. Bu, Claude Code gibi benzer araçlara kıyasla belirgin şekilde daha yüksek veri tutma anlamına geliyordu.
- Sorun kim tarafından ortaya çıkarıldı?
- Cereblab adlı araştırma ekibi, pazartesi günü yayımladığı bulgularla sorunu kamuoyuna duyurdu. The Register haberi işlerken xAI, kısa süre içinde kod deposu yükleme özelliğini kapattı.
- xAI ve Elon Musk soruna nasıl yanıt verdi?
- Musk, X'te önceden yüklenen tüm verilerin tamamen silineceğini söyledi. Şirket ayrıca /privacy komutunun sorunu çözdüğünü iddia etti, ancak Cereblab bunun sadece oturum bazlı bir ayar olduğunu ve gerçek sorunu çözmediğini belirtti.
- Riske girmiş olabilecek veri türleri neler?
- Bağımsız güvenlik araştırmacısı Dr. Lukasz Olejnik'e göre risk altındaki veriler arasında tescilli kaynak kod, güvenlik açığı bilgileri, kişisel veriler, altyapı detayları ve kimlik bilgileri (credentials) bulunuyor.
Kaynak: The Verge AI — Bu haber, kaynaktaki gelişme temel alınarak Yapay Zekanın Nabzı editoryal süreciyle hazırlanmıştır.
Yapay zeka gündemini kaçırma 🤖
Günün tüm haberleri, yayınlandığı anda Telegram kanalında.
Son Haberler
Meta'ya Dava: İzindeki Çalışanları Yapay Zekâ mı İşten Attı?
26 eski Meta çalışanı, şirketin yapay zekâ araçlarıyla doğum ve sağlık izni kullananları haksız yere işten çıkarma listesine aldığını iddia ederek dava açtı.
Spotify'a ChatGPT Gibi Müzik Asistanı Geldi: Artık Sohbet Ederek Dinliyoruz
Spotify Premium kullanıcıları artık uygulamayla sohbet ederek müzik, podcast ve sesli kitap keşfedebiliyor. Beta özellik ilk üç ülkede yayında.
Hassabis'ten Küresel Yapay Zekâ Bekçisi Çağrısı — Ama Neden ABD?
Google DeepMind CEO'su Demis Hassabis, sınır modellerine gerekirse fren çekebilecek küresel bir denetim kurumu istiyor. Peki başına neden ABD geçmeli?