تُحدَّث يومياً

مصدرُك العربي
لمستقبل الذكاء الاصطناعي

أخبار، تقارير، أدوات وتحليلات يومية — كل ما تحتاجه لمتابعة ثورة الذكاء الاصطناعي باللغة العربية

✅ تم الاشتراك!
أخبار الذكاء الاصطناعي

Grok Build كان يرفع مستودعات الكود كاملةً إلى السحابة دون علم المطورين

بقلم: ليلى | محررة أدوات المطورين · صوت تحريري بإشراف بشري

شعار <a href=Grok من xAI على خلفية داكنة”>
أداة Grok Build من xAI — في قلب أزمة خصوصية تطال مستودعات المطورين

اكتشف باحثون أن أداة البرمجة Grok Build من xAI كانت تحزّم مستودعات الكود الكاملة لمستخدميها وترفعها إلى Google Cloud، وذلك دون إشعار واضح أو موافقة صريحة من المطورين الذين يثقون بها بأكوادهم اليومية.

نشرت شركة Cereblab نتائجها يوم الاثنين، وكشفت أن واجهة سطر الأوامر الخاصة بـ Grok Build لم تكن تكتفي بالملفات التي يتيحها المستخدم صراحةً، بل كانت ترفع “الملفات التي طُلب منها عدم فتحها، والأسرار المحذوفة من سجل النسخ”، (وفقاً لـ The Verge). الأمر لا يتعلق فقط بمشاركة بيانات مفرطة، بل يتجاوز ذلك إلى انتهاك حدود الوصول التي رسمها المستخدم نفسه.

بمجرد نشر التقرير، سارعت xAI إلى تعطيل الميزة. وأكد باحثو Cereblab أن اختباراتهم اللاحقة كشفت عن إعادة disable_codebase_upload: true من خوادم xAI، وأن رفع المستودعات “لم يعد يُطلَق بعد الآن”. أي أن الإغلاق جاء بعد الفضيحة لا قبلها.

ردّ إيلون ماسك عبر منشور على X بوعد بحذف جميع البيانات المرفوعة سابقاً “بشكل كامل ونهائي”. لكنه في منشور منفصل، زاد الطين بلّة حين أكد أن “إعدادات الخصوصية دائماً تُحترم”، ثم طلب في الوقت ذاته من المستخدمين السماح لـ xAI بالاحتفاظ ببياناتهم لأنها “مفيدة لتصحيح الأخطاء”. هذا التناقض بين نفي الإشكالية والطلب باستمرار ما سبب الإشكالية لا يمكن تجاهله.

الدكتور Lukasz Olejnik، باحث أمني مستقل من King’s College London، أكد لـ The Verge أن هذا الحجم من الاحتفاظ بالبيانات “مفرط”، وأن البيانات المعرّضة للخطر قد تشمل “الكود المصدري الحساس، ومعلومات عن ثغرات أمنية، وبيانات شخصية، وتفاصيل البنية التحتية، وبيانات الاعتماد” (وفقاً لـ The Verge). هذه ليست قائمة نظرية، بل وصف حرفي لما يحمله أي مستودع كود حقيقي في أي مشروع تقني جاد.

ردّ xAI الأولي على الحادثة أشار إلى أمر /privacy داخل CLI باعتباره الحلّ المتاح للمستخدمين الراغبين في إيقاف الاحتفاظ بالبيانات. لكن Cereblab فنّدت هذا الادعاء بدقة: الأمر /privacy ليس سوى “مفتاح تبديل لكل جلسة على حدة، وليس التعديل الذي أوقف رفع البيانات فعلاً”، ومن ثم لا يصح تقديمه باعتباره ضماناً كافياً لحماية البيانات.

ما يجعل هذا الحادث أكثر من مجرد خطأ تقني بسيط هو السياق المقارن: أدوات مشابهة كـ Claude Code لا تعمل بهذا المستوى من الاحتفاظ بالبيانات (وفقاً لـ The Register). المشكلة إذن ليست قيداً تقنياً لا مفرّ منه، بل خيار تصميمي واعٍ. وحين تجمع بين كود مصدري خاص، وأسرار محذوفة من تاريخ النسخ، وبنية تحتية قد تحمل متغيرات البيئة وبيانات الاعتماد، فأنت أمام ملف أمني لا يحتمل التبرير بالإهمال البسيط.

المطوّر الذي يستخدم أداة برمجة مدعومة بالذكاء الاصطناعي يفترض ضمنياً أن ما يكتبه يبقى ضمن حدود يتحكم بها. هذه الحادثة تكسر تلك الافتراضية بشكل صريح، وتطرح تساؤلاً أعمق: هل تقرأ بنود الاستخدام لكل أداة AI تدمجها في سير عملك؟ وهل تثق بأن ما تُفصح عنه محدود بما تريد الإفصاح عنه؟ الوعود بحذف البيانات مطمئنة، لكنها لا تُعيد ما جرى رفعه بالفعل.

The Verge

مقالات ذات صلة

زر الذهاب إلى الأعلى