Grok Build遭 peretasan dan pencurian, pengguna mengunggah “seluruh direktori rumah” ke cloud, pengembang panik: semua hal bocor

AI menulis alat pemrograman jadi penyedot privasi? Menurut beberapa pengembang di platform X yang memperingatkan, alat pengembangan Grok Build dari xAI milik Elon Musk memunculkan kekhawatiran serius soal kebocoran privasi. Seorang pengguna memposting tuduhan, mengaku tanpa sengaja menjalankan alat tersebut di direktori Home (Home Directory), yang berujung pada semua kunci SSH pribadinya, basis data pengelola kata sandi, foto, dan video dikemas lalu diunggah ke server xAI.

(Pengantar: Musk meminta karyawan Tesla beralih ke Grok untuk menghemat biaya, meski ia mengakui Claude Fable lebih kuat) (Tambahan latar: SpaceXAI milik Musk resmi meluncurkan model terkuat “Grok 4.5”! Berkolaborasi dengan Cursor untuk menyerang agen pengkodean AI, integrasi sempurna dengan software kantor Office)

Daftar isi

Toggle

  • Seluruh direktori rumah dikemas dan diunggah
  • Peringatan komunitas lebih dulu: file .env juga sulit lolos
  • Mengingatkan bahaya keamanan untuk alat pengembangan AI

Seiring meluasnya penggunaan alat pengembangan berbasis AI, batas keamanan antara kode dan data privasi pribadi kini menghadapi tantangan yang belum pernah terjadi sebelumnya. Belum lama ini, alat pengembangan Grok Build yang diluncurkan xAI milik Elon Musk justru memicu kehebohan besar di komunitas.

Seluruh direktori rumah dikemas dan diunggah

Pada 13 Juli 2026 menurut waktu Taipei, seorang pengembang bernama A Green Being (@a_green_being) memublikasikan tangkapan layar log yang membuat merinding (Logs) di platform X. Ia dengan panik menyatakan: “Grok sudah mengunggah seluruh direktori pengguna saya ke server xAI. Di dalamnya ada kunci SSH saya, database pengelola password, dokumen pribadi, foto, video, semuanya….”

Menurut tangkapan layar unified.json yang ia bagikan, sistem memang memicu banyak permintaan repo_state.upload.start, dan jalur unggahnya langsung mengarah ke direktori rumah pengguna tersebut (/home/usuario). Ini berarti Grok Build, tanpa penyaringan dan pengecualian yang jelas, mengirim seluruh file lokal yang berisi informasi yang sangat sensitif ke endpoint cloud.

Okay, grok has uploaded my entire user directory to xAI's servers. It contains my SSH keys, my password manager database, my documents, photos, videos, everything… pic.twitter.com/s8eSs9DGzF

— A Green Being (@a_green_being) July 13, 2026

Peringatan komunitas lebih dulu: file .env juga sulit lolos

Faktanya, bencana privasi ini bukan kasus tunggal. Posting A Green Being dibuat untuk menanggapi peringatan keamanan yang lebih dulu disampaikan oleh anggota komunitas terkenal lainnya, CyberSatoshi (@XBToshi). CyberSatoshi pernah memposting bahwa Grok Build diam-diam di latar belakang mengunggah seluruh repositori (Repository), histori Git, bahkan file .env tersembunyi yang berisi informasi rahasia seperti API key, semuanya ke platform cloud Google (GCP). Ini sangat mungkin dipakai untuk pelatihan model berikutnya.

Saat itu, CyberSatoshi juga mendesak semua pengembang agar segera memeriksa file log Grok di perangkat lokal untuk memastikan apakah ada kebocoran data. Dan ketika menghadapi situasi menyedihkan di mana data pribadi A Green Being sampai “terbongkar” seluruhnya, ia pun hanya bisa menjawab dengan getir: “Kamu lebih parah daripada saya, kamu langsung menjalankan Grok di direktori rumahmu.”

Mengingatkan bahaya keamanan untuk alat pengembangan AI

Kejadian ini menyoroti risiko potensial pada kontrol izin dan pengambilan data pada alat pengembangan AI saat ini. Karena sistem AI biasanya membutuhkan banyak konteks untuk memahami logika kode, jika desain lapisan bawah alat tersebut tidak memiliki mekanisme pengecualian file yang tepat (misalnya otomatis mengabaikan .gitignore atau file tersembunyi sistem), maka alat itu mudah berujung pada celah keamanan siber tingkat bencana.

Saat ini, para ahli keamanan siber sangat menyarankan agar jika pengembang menggunakan Grok Build atau alat bantu AI serupa, sebaiknya absolut menghindari menjalankannya di direktori root atau direktori rumah. Praktik perlindungan terbaik adalah membatasi alat-alat tersebut agar berjalan di lingkungan virtual independen (Sandbox), container Docker, atau akun pengguna yang khusus dan dibatasi. Selain itu, pengguna harus terus memantau perilaku unggahan data yang tidak wajar melalui perintah terminal (misalnya cat ~/.grok/logs/unified.json | grep repo_state.upload) agar aset digital pribadi tidak berubah menjadi “makanan gratis” untuk melatih AI.

TSLA-3,18%
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Disematkan