{"id":327565,"date":"2026-07-16T23:13:47","date_gmt":"2026-07-16T21:13:47","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=327565"},"modified":"2026-07-16T23:31:44","modified_gmt":"2026-07-16T21:31:44","slug":"grok-build-cli-lud-komplette-ganze-git-repositorys-in-einen-google-cloud-bucket-hoch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/07\/16\/grok-build-cli-lud-komplette-ganze-git-repositorys-in-einen-google-cloud-bucket-hoch\/","title":{"rendered":"Grok Build CLI lud komplette ganze Git-Repositorys in einen Google Cloud-Bucket hoch"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" alt=\"Stop - Pixabay\" align=\"left\" \/>Der AI-Coding-Assistent Grok Build CLI ist vor einigen Tagen durch ein seltsames Verhalten aufgefallen. Der Coding-Assistent von xAI ist aufgefallen weil er ganze Git-Repositorys in einen Google Cloud-Bucket hochgeladen hat. Dadurch wurden auch private Codebasen und Geheimnisse wie Zugangsdaten im Klartext in das Google Cloud-Bucket hochgeladen und m\u00fcssen als kompromittiert angesehen werden. SpaceXAI hat inzwischen den Vorfall best\u00e4tigt und den Upload gel\u00f6scht.<\/p>\n<p><!--more--><\/p>\n<h2>Ein Tweet mit Hinweis auf \"Ausleitungen\"<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/1fec20bb376e4012a3a47e174eb84546\" alt=\"\" width=\"1\" height=\"1\" \/>Mir ist der Vorfall die Tage auf X untergekommen, weil der Kanal International Cyber Digest in nachfolgendem <a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2076689215258014069\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> seine Beobachtungen ver\u00f6ffentlichte.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2076689215258014069\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-327566\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/Grook-Fail.jpg\" alt=\"Grook-Fail\" width=\"564\" height=\"479\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/Grook-Fail.jpg 654w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/Grook-Fail-300x255.jpg 300w\" sizes=\"auto, (max-width: 564px) 100vw, 564px\" \/><\/a><\/p>\n<p>Im Tweet hie\u00df es, dass die \"Grok Build CLI\" von xAI hat ganze Git-Repositorys in einen Google-Cloud-Bucket\u00a0hochgeladen habe. Darunter befanden sich auch private Codebasen und Geheimnisse wie Zugangsdaten im Klartext (ungeschw\u00e4rzt).<\/p>\n<p>Das Ausma\u00df sei atemberaubend, hei\u00dft es im Tweet. Bei einem 12-GB-Test-Repository flossen 5,1 GB in den \"grok-code-session-traces\"-Bucket von xAI, w\u00e4hrend die eigentliche Programmieraufgabe lediglich 192 KB ben\u00f6tigte. Das Tool griff auf das gesamte Repository zu, in dem es ausgef\u00fchrt wurde, und nicht nur auf die ben\u00f6tigten Dateien.<\/p>\n<p>Das Thema wurde bereits zum 10. Juli 2027 auf reddit.com in <a href=\"https:\/\/www.reddit.com\/r\/LocalLLaMA\/comments\/1ut7tis\/grok_build_cli_uploads_your_whole_repo_full_git\/\" target=\"_blank\" rel=\"noopener\">diesem Post<\/a> angesprochen und auf GitHub dokumentiert.\u00a0Das ist f\u00fcr die Benutzer von \"Grok Build CLI\" nat\u00fcrlich ein GAU, ist doch quasi das gesamte Repository samt \"Geheimnissen\" ausgeleitet worden. Irgendwann hat xAI\u00a0 das gemerkt, denn die Uploads wurden stillschweigend \u00fcber ein verstecktes serverseitiges Flag gestoppt. In obigem Tweet wird beklagt, dass xAI sich zum Zeitpunkt der Erstellung des Posts noch nicht zu Umfang, Aufbewahrungsdauer oder L\u00f6schung ge\u00e4u\u00dfert habe.<\/p>\n<h2>xAI best\u00e4tigt Problem und l\u00f6scht Upload<\/h2>\n<p>In einem <a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2077502378375324135\" target=\"_blank\" rel=\"noopener\">Folgetweet<\/a> thematisiert International Cyber Digest die Stellungnahme von SpaceXAI zum Vorfall. Das Eingest\u00e4ndnis ist, dass die Datenspeicherung in der Beta-Phase f\u00fcr Nicht-ZDR-Nutzer (Zero Data Retention) standardm\u00e4\u00dfig aktiviert war.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2077502378375324135\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-327567\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/Grook-Fail01.jpg\" alt=\"Grook-Fail-Best\u00e4tigung\" width=\"540\" height=\"447\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/Grook-Fail01.jpg 644w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/Grook-Fail01-300x248.jpg 300w\" sizes=\"auto, (max-width: 540px) 100vw, 540px\" \/><\/a><\/p>\n<p>Es wird auch erw\u00e4hnt, dass die Einstellung, dass keine Daten ausgeleitet werden d\u00fcrfen, respektiert wurde. Es traf nut Nutzer, die die Option nicht entsprechend gesetzt hatten.\u00a0Diese Ausleitung wurde inzwischen deaktiviert und SpaceXAI gibt an, dass man alle Kodierungsdaten, die man hochgeladen habe, l\u00f6scht.<\/p>\n<h2>Einstufung durch Norddeutsch<\/h2>\n<p>Blog-Leser Norddeutsch hatte zu obigem Sachverhalt folgenden Text im Diskussionsbereich des Blogs eingestellt, den ich mal nach hierher ziehe:<\/p>\n<blockquote><p>Ausleitung (aller) zugreifbaren Daten in GitHub-Repositories der Nutzer von xAI's\u00a0<b>KI-Coding-Assistenten Grok Build<\/b>. Dazu hier detaillierte\u00a0<a href=\"https:\/\/gist.github.com\/cereblab\/dc9a40bc26120f4540e4e09b75ffb547\" target=\"_blank\" rel=\"nofollow noopener ugc\">Analyse von cereblab<\/a>\u00a0auf GitHub. Hier zu\u00a0<a href=\"https:\/\/thehackernews.com\/2026\/07\/grok-build-uploads-entire-git.html\" target=\"_blank\" rel=\"nofollow noopener ugc\">Hacker News<\/a>,\u00a0<a href=\"https:\/\/www.golem.de\/news\/elon-musks-ki-grok-build-hat-ungefragt-ganze-codebasen-auf-cloudspeicher-kopiert-2607-210883.html\" target=\"_blank\" rel=\"nofollow noopener ugc\">Golem gestern<\/a>, dort\u00a0<a href=\"https:\/\/cybernews.com\/ai-news\/grok-build-git-repository-upload\/\" target=\"_blank\" rel=\"nofollow noopener ugc\">CyberNews<\/a>. Scheinbar wurden ebenso Daten bis zu potentiellen oder verhandenen Secrets und SSH-Keys ausgeleitet, dies getestet mit Canary-Files (hier verwendet i.S.v. von\u00a0<a href=\"https:\/\/de.wikipedia.org\/wiki\/Canary_in_a_Coalmine\" target=\"_blank\" rel=\"nofollow noopener ugc\">Kanarienv\u00f6geln<\/a>), z.B.:<\/p>\n<blockquote><p>API_KEY=CANARY7F3A9-SECRET-should-not-leave<br \/>\nDB_PASSWORD=CANARY7F3A9-DBPASS<\/p><\/blockquote>\n<p>Egal ob jetzt der Quellcode von Grok zur Vertrauensbildung ver\u00f6ffentlicht wurde. Egal ob ohne Zustimmung ausgeleitete Daten gel\u00f6scht werden.<\/p>\n<p>Alle Credentials w\u00e4ren m.E. als kompromittiert zu betrachten. Token sind allesamt zu tauschen, Passworte neu zu setzen, Ausleitung bei Systemen im OP's oder DEV unmittelbar zu pr\u00fcfen.<\/p><\/blockquote>\n<h2>Risiko KI-Coding-Assistent und der Kontrollverlust<\/h2>\n<p>Da passt der Hinweis von Leser viebrix im Diskussionsbereich, der folgendes schrieb:<\/p>\n<blockquote><p>Linus Torvalds findet sehr klare Worte zu KI und der Benutzung bei Linux. Golem Artikel:\u00a0<a href=\"https:\/\/www.golem.de\/news\/linus-torvalds-eskaliert-gegen-ki-gegner-linux-ist-kein-anti-ki-projekt-2607-210941.html\" target=\"_blank\" rel=\"nofollow noopener ugc\">Linus Torvalds eskaliert gegen KI-Gegner \"Linux ist kein Anti-KI-Projekt\"<\/a><\/p>\n<p>Hier ein Auszug (ganzen Artikel lesen, es steht noch mehr drin):<br \/>\nTorvalds hat bez\u00fcglich KI aber offenkundig eine andere Einstellung. \"Mir ist klar, dass manche Leute KI wirklich nicht m\u00f6gen, aber dies ist ein Bereich, in dem ich als Hauptverantwortlicher Maintainer absolut nicht nachgeben werde\", schrieb er in einer Mail. KI sei lediglich ein Tool wie viele andere, und in diesem Fall sogar ein \"zweifellos n\u00fctzliches\".<\/p>\n<p>Vor einem Jahr sei die Lage diesbez\u00fcglich wom\u00f6glich noch nicht ganz so eindeutig gewesen, heute stehe die N\u00fctzlichkeit von KI aber au\u00dfer Frage. \"Jeder, der das bezweifelt, hat es offensichtlich selbst noch nicht ausprobiert\", so der Kernel-Entwickler.<\/p>\n<p>Zwar k\u00f6nne KI durchaus l\u00e4stig sein und erzeuge f\u00fcr Maintainer gerade eine Menge Arbeitsaufwand, die L\u00f6sung bestehe allerdings nicht darin, \"den Kopf in den Sand zu stecken und laut 'Lalala, ich kann dich nicht h\u00f6ren' zu singen, wie es manche Leute offenbar tun\".<\/p><\/blockquote>\n<p>Es stimmt zwar, was Torvalds da zu bedenken gibt. Aber der obige Sachverhalt zeigt halt auch, dass der Teufel im Detail steckt. Sp\u00e4testens wenn die Leute ihre GitHub-Repositories samt Geheimnissen ausgeleitet bekommen, f\u00e4ngt doch der Katzenjammer an.<\/p>\n<p>Die Lieferkettenangriffe, die wir seit Monaten sehen, werden dann ohne Hacks m\u00f6glich, wenn Zugangsdaten frei Haus geliefert werden. Und ich erinnere an das Thema GitLost, was am 6. Juli 2026 im Beitrag <a href=\"https:\/\/noma.security\/blog\/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos\/\" target=\"_blank\" rel=\"noopener\">GitLost: How We Tricked GitHub's AI Agent into Leaking &#8230;<\/a> \u00f6ffentlich wurde. KI-Coding-Assistenten sind quasi die Zauberlehrlinge, die die Geister riefen. Bleibt die Frage, ob die Zauberlehrlinge auf Dauer \"die Geister, die sie riefen, Herr werden, oder ob die ein Eigenleben entwickeln\".<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der AI-Coding-Assistent Grok Build CLI ist vor einigen Tagen durch ein seltsames Verhalten aufgefallen. Der Coding-Assistent von xAI ist aufgefallen weil er ganze Git-Repositorys in einen Google Cloud-Bucket hochgeladen hat. Dadurch wurden auch private Codebasen und Geheimnisse wie Zugangsdaten im &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/07\/16\/grok-build-cli-lud-komplette-ganze-git-repositorys-in-einen-google-cloud-bucket-hoch\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8625,426],"tags":[15626,4903,4328],"class_list":["post-327565","post","type-post","status-publish","format-standard","hentry","category-ai","category-sicherheit","tag-grok","tag-ki","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=327565"}],"version-history":[{"count":6,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327565\/revisions"}],"predecessor-version":[{"id":327573,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327565\/revisions\/327573"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=327565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=327565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=327565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}