Grok'un Kodlama Aracı Kod Deposunu Habersiz Buluta Yüklüyordu

xAI'nin Grok Build aracı, kullanıcıların tüm kod depolarını —silinmiş sırlar dahil— Google Cloud'a yüklüyormuş. Peki bu özellik kaç aydır aktifti?

Grok'un Kodlama Aracı Kod Deposunu Habersiz Buluta Yüklüyordu
Görsel: The Verge AI
Okuma Süresi: 3 dk
Mert SorgunHer cevabın arkasında üç soru bulur
Yapay zeka destekli müstear kalem · Editoryal sorumluluk: Osman Aslan

Bir kodlama aracına "şu dosyayı açma" dediğinizde, aracın gerçekten dinlediğini nasıl bilirsiniz? Cereblab'ın pazartesi günü yayımladığı bulgular, xAI'nin Grok Build CLI'ının (komut satırı arayüzü) bu soruya çok can sıkıcı bir cevap verdiğini gösteriyor: Araç, kullanıcıların tüm kod deposunu paketleyip Google Cloud'a yüklüyordu — açılmaması söylenen dosyalar ve geçmişten silinmiş sırlar dahil.

Peki bu ne kadar süredir devam ediyordu? Kaynak haberde bu sorunun cevabı yok, ama araştırmacıların vurguladığı bir detay dikkat çekici: bu veri tutma seviyesi, benzer bir araç olan Claude Code'la kıyaslandığında "anlamlı ölçüde" fazla. Yani bu tesadüfen ortaya çıkmış bir hata değil, tasarım tercihiyle şekillenmiş bir davranış gibi duruyor.

Haber ortaya çıktıktan sonra xAI hızla harekete geçti. Araştırmacılar, pazartesi itibarıyla şirketin sunucularının artık "disable_codebase_upload: true" bayrağı döndürdüğünü ve kod deposu yüklemesinin "artık tetiklenmediğini" doğruladı. Elon Musk da X'te konuya girdi ve önceden yüklenmiş tüm verilerin "tamamen ve eksiksiz şekilde silineceğini" söyledi.

Ne Söylendi, Ne Söylenmedi?

Burada asıl ilginç kısım, şirketin ilk savunması. xAI, sorunun /privacy komutuyla çözülebileceğini iddia etti: "Sıfır veri tutma [ayarı] devre dışıysa, /privacy komutu CLI'da mevcuttur ve veri tutmayı kapatır, bu da önceden senkronize edilmiş verileri de siler." Cereblab bu açıklamayı doğrudan çürüttü: /privacy, oturum bazlı bir tercih anahtarı, sorunu çözen kontrol mekanizması değil. Yani şirket, kullanıcılara sorunu "çözmüş gibi görünen" ama aslında işe yaramayan bir düğmeyi gösterdi.

Musk'ın kendisi de kafa karıştırıcı bir çift mesaj verdi. Bir yandan "gizlilik ayarları her zaman saygı görür" dedi, diğer yandan kullanıcılardan xAI'nin verilerini tutmasına izin vermelerini istedi — çünkü bu, "hata ayıklama sorunları için yararlı." Peki hangisi doğru: gizlilik ayarına her zaman uyulduğu mu, yoksa şirketin bu veriyi tutmak istediği mi? İkisi aynı cümlede bir arada durmuyor.

King's College London'dan bağımsız güvenlik araştırmacısı Dr. Lukasz Olejnik, The Verge'e yaptığı açıklamada bu veri tutma seviyesinin "aşırı" olduğunu doğruladı. Risk altındaki verinin kapsamı hafife alınacak gibi değil: tescilli kaynak kod, güvenlik açığı bilgileri, kişisel veriler, altyapı detayları ve kimlik bilgileri (credentials).

Bu Ne Anlama Geliyor?

Kod yazma araçlarının yapay zekâ destekli hale gelmesiyle birlikte, geliştiriciler artık şirketlerinin en hassas varlığını —kaynak kodunu— üçüncü taraf sunuculara emanet ediyor. Bu olay, o emanetin ne kadar gevşek tutulabileceğinin somut bir örneği. "Sırları geçmişten sildim" demek artık yetmiyor; eğer araç, silinmeden önceki hâli zaten buluta göndermişse, o silme işlemi kâğıt üzerinde kalıyor.

Benzer araçların (Claude Code gibi) daha az veri tuttuğunun vurgulanması da rastgele bir kıyas değil — sektördeki rekabetin artık sadece model performansı değil, veri toplama disiplini üzerinden de yürüdüğünü gösteriyor. Şirketler "debug için yararlı" gerekçesiyle veri tutmayı normalleştirmeye çalıştıkça, kullanıcının gerçekten ne kadar kontrolü olduğu sorusu daha da önem kazanıyor.

xAI'nin resmi gizlilik politikası sayfasında veri işleme taahhütleri yer alıyor; ancak bu olay, yazılı taahhütle gerçek uygulama arasındaki boşluğun ne kadar büyük olabileceğini gösteriyor.

Türkiye'ye Etkisi

Türkiye'de Grok Build veya benzeri yapay zekâ destekli kodlama araçlarını kullanan geliştiriciler ve şirketler için mesaj açık: "açma" veya "sil" demek, aracın gerçekten öyle yaptığı anlamına gelmiyor. Özellikle KVKK kapsamında müşteri verisi veya kimlik bilgisi içeren depolarla çalışan ekiplerin, bu tür araçların veri tutma politikalarını bağımsız denetimlerle doğrulaması gerekiyor — şirketin kendi açıklamasına güvenmek, bu vakada yeterli olmadı.

Sık Sorulan Sorular

Grok Build tam olarak ne yapıyordu?
xAI'nin kodlama aracı Grok Build, kullanıcıların tüm kod deposunu -açılmaması söylenen dosyalar ve geçmişten silinmiş sırlar dahil- Google Cloud'a yüklüyordu. Bu, Claude Code gibi benzer araçlara kıyasla belirgin şekilde daha yüksek veri tutma anlamına geliyordu.
Sorun kim tarafından ortaya çıkarıldı?
Cereblab adlı araştırma ekibi, pazartesi günü yayımladığı bulgularla sorunu kamuoyuna duyurdu. The Register haberi işlerken xAI, kısa süre içinde kod deposu yükleme özelliğini kapattı.
xAI ve Elon Musk soruna nasıl yanıt verdi?
Musk, X'te önceden yüklenen tüm verilerin tamamen silineceğini söyledi. Şirket ayrıca /privacy komutunun sorunu çözdüğünü iddia etti, ancak Cereblab bunun sadece oturum bazlı bir ayar olduğunu ve gerçek sorunu çözmediğini belirtti.
Riske girmiş olabilecek veri türleri neler?
Bağımsız güvenlik araştırmacısı Dr. Lukasz Olejnik'e göre risk altındaki veriler arasında tescilli kaynak kod, güvenlik açığı bilgileri, kişisel veriler, altyapı detayları ve kimlik bilgileri (credentials) bulunuyor.

Kaynak: The Verge AIBu haber, kaynaktaki gelişme temel alınarak Yapay Zekanın Nabzı editoryal süreciyle hazırlanmıştır.

GrokxAIveri gizliliğiElon Muskkod güvenliğiyapay zekâ araçları

Yapay zeka gündemini kaçırma 🤖

Günün tüm haberleri, yayınlandığı anda Telegram kanalında.

✈️ Kanala Katıl

Son Haberler