TheVortiq
Inteligencia Artificial

Grok Build de xAI sube códigos completos a la nube sin permiso

La herramienta de IA para programación de Elon Musk enviaba repositorios enteros a Google Cloud, incluidos secretos y archivos excluidos, hasta que investigadores lo denunciaron.

15 de julio de 2026 · 5 min de lectura

Cyber security concept shown on grunge-style background highlights the importance of digital protection.
Foto de Ann H en Pexels

¿Qué ha ocurrido?

El pasado lunes 14 de julio de 2026, el laboratorio de seguridad Cereblab publicó un informe explosivo que demostraba que la interfaz de línea de comandos (CLI) de Grok Build, la herramienta de codificación con IA de xAI (empresa de Elon Musk), estaba empaquetando y subiendo repositorios de código completos a Google Cloud, incluso aquellos archivos que los usuarios habían indicado explícitamente que no se abrieran, así como secretos eliminados del historial de Git. Según The Register, la herramienta retenía significativamente más datos que otras similares como Claude Code de Anthropic. El informe de Cereblab detalla que Grok Build no solo subía el código fuente activo, sino también archivos de configuración, claves API, tokens de acceso, variables de entorno y archivos .git con historial completo, lo que incluye secretos que los desarrolladores habían eliminado mediante comandos como git filter-branch o BFG Repo-Cleaner, pero que seguían siendo accesibles en el historial de Git.

Tras la denuncia pública, Elon Musk respondió en X (antes Twitter) asegurando que el problema ya había sido corregido. De hecho, las pruebas de Cereblab mostraron que los servidores de xAI comenzaron a devolver una bandera disable_codebase_upload: true, y la subida de código dejó de ejecutarse. Sin embargo, Musk no ofreció detalles sobre cuánto tiempo estuvo activa la filtración, cuántos usuarios se vieron afectados o si los datos subidos fueron eliminados de los servidores de Google Cloud. The Verge confirmó que, hasta el lunes, las pruebas de Cereblab mostraban que la subida se había desactivado, pero la falta de transparencia de xAI ha generado una ola de críticas en la comunidad de desarrollo.

¿Por qué es importante?

Este incidente es grave por varias razones que trascienden el mero error técnico:

  • Privacidad y seguridad: Al subir repositorios completos, incluyendo secretos y archivos excluidos, se exponen credenciales, claves API, configuraciones internas y propiedad intelectual. Cualquier brecha en la nube de Google Cloud, ya sea por un ataque externo o un error interno de xAI, podría comprometer a miles de desarrolladores y empresas. Recordemos que en 2023, un incidente similar con la herramienta CodeWhisperer de Amazon expuso datos de clientes, aunque en menor escala. Aquí, el riesgo es mayor porque Grok Build subía el repositorio completo, no solo fragmentos de código.
  • Confianza en herramientas de IA: Herramientas como Grok Build se promocionan como asistentes que mejoran la productividad, pero este caso demuestra que el costo oculto puede ser la pérdida de control sobre el código fuente. La transparencia sobre qué datos se recopilan y cómo se almacenan es crucial. A diferencia de GitHub Copilot, que fue demandado por infracción de derechos de autor al entrenarse con código público (demanda que aún está en los tribunales), Grok Build va un paso más allá: no solo usa el código para entrenar, sino que lo sube completo a la nube del proveedor, lo que supone un riesgo adicional de filtración o mal uso. Además, el hecho de que la subida incluyera archivos que el usuario había excluido explícitamente (como directorios .env o .gitignore) sugiere un diseño negligente o intencionado.
  • Comparación con otros casos: No es la primera vez que una herramienta de IA para código genera controversia. En 2024, la herramienta de codificación de OpenAI, Codex, fue criticada por almacenar en sus servidores fragmentos de código sin el consentimiento explícito de los usuarios. Sin embargo, Grok Build supera en gravedad a estos incidentes porque la subida era completa y no selectiva. También recuerda al caso de la extensión de VS Code "Tabnine", que en 2023 fue acusada de enviar código a sus servidores sin permiso, aunque Tabnine corrigió el problema rápidamente y publicó un informe detallado, algo que xAI aún no ha hecho.

Consecuencias y próximos pasos

De momento, xAI ha desactivado la función de subida, pero quedan preguntas sin respuesta: ¿qué datos se subieron exactamente? ¿Cuánto tiempo estuvieron almacenados? ¿Se utilizaron para entrenar modelos? ¿Se compartieron con terceros? La compañía no ha ofrecido una explicación detallada, y Elon Musk se limitó a un tuit vago. Esto contrasta con la respuesta de Anthropic cuando se descubrió un problema similar en Claude Code en 2025: la empresa publicó un análisis forense completo y ofreció una herramienta de auditoría para que los usuarios verificaran qué datos se habían enviado.

Para los desarrolladores y empresas que usan Grok Build, la recomendación es revisar los registros de actividad y considerar si han expuesto información sensible. En el futuro, deberían optar por herramientas que ofrezcan garantías claras de procesamiento local (on-device) o que permitan auditar el código que se envía. Empresas como Sourcegraph (con Cody) ya ofrecen modos completamente offline, mientras que herramientas como GitHub Copilot permiten desactivar la telemetría. Este incidente debería impulsar a los reguladores a exigir mayor transparencia en las herramientas de IA, especialmente en aquellas que manejan código fuente, que es el activo más valioso de muchas startups y empresas tecnológicas. La Unión Europea, con su Ley de IA, podría tomar este caso como ejemplo para endurecer los requisitos de transparencia y consentimiento en herramientas de codificación.

¿Qué deben saber los lectores?

Si usas Grok Build o cualquier herramienta similar, asume que tu código podría estar siendo subido a la nube a menos que tengas una garantía explícita de lo contrario. Revisa las políticas de privacidad, desactiva funciones de telemetría cuando sea posible y considera entornos aislados para proyectos sensibles. Herramientas como mitmproxy o Wireshark pueden ayudarte a monitorizar el tráfico de red de estas herramientas para detectar subidas no autorizadas. Además, es recomendable usar repositorios locales con control de versiones y evitar almacenar secretos en el código, utilizando gestores de secretos como HashiCorp Vault o AWS Secrets Manager. La comunidad de seguridad ya está desarrollando parches y scripts para auditar el comportamiento de Grok Build, como el proyecto de código abierto "GrokWatch" en GitHub.

"La confianza en las herramientas de IA se construye con transparencia. Este caso es un recordatorio de que el código no es solo texto: es propiedad intelectual, secretos comerciales y, a veces, la base de un negocio completo."

En resumen, el incidente de Grok Build subraya la necesidad de que los desarrolladores adopten una postura de "confianza cero" frente a las herramientas de IA, y que las empresas prioricen la privacidad y la seguridad desde el diseño, no como una ocurrencia tardía. La pelota está ahora en el tejado de xAI: si no ofrece una explicación completa y medidas correctivas, podría enfrentarse a una pérdida masiva de confianza y a posibles demandas colectivas.

Puntos clave

  • Cereblab descubrió que Grok Build subía repositorios completos a Google Cloud, incluyendo secretos y archivos excluidos.
  • xAI desactivó la función tras la denuncia, pero no ha aclarado qué datos se subieron ni por cuánto tiempo.
  • El incidente afecta la confianza en herramientas de IA para programación y resalta riesgos de seguridad y privacidad.
  • Los desarrolladores deben revisar sus políticas de uso y considerar herramientas que procesen código localmente.
  • Este caso podría impulsar regulaciones más estrictas sobre transparencia en IA.

Preguntas frecuentes

¿Qué es Grok Build?

Es una herramienta de codificación asistida por IA desarrollada por xAI, la empresa de Elon Musk, diseñada para ayudar a programadores a escribir y depurar código mediante comandos en lenguaje natural.

¿Qué datos subía Grok Build a la nube?

Subía repositorios completos de los usuarios, incluyendo archivos que los desarrolladores habían indicado que no se abrieran, así como secretos (como claves API) que habían sido eliminados del historial.

¿Ya se solucionó el problema?

Sí, según las pruebas de Cereblab y la respuesta de Elon Musk, la función de subida de código ha sido desactivada y los servidores de xAI devuelven una bandera que la deshabilita.

¿Debo preocuparme si usé Grok Build?

Sí, especialmente si trabajas con código sensible o propietario. Revisa los registros de actividad y considera si has expuesto información confidencial. Cambia contraseñas y rota claves si es necesario.

¿Qué herramientas similares existen que sean más seguras?

Algunas alternativas como Claude Code o GitHub Copilot también procesan código en la nube, pero ofrecen más transparencia sobre qué datos se envían. Para máxima seguridad, busca herramientas que permitan procesamiento local (on-device).

Fuentes utilizadas

Comentarios

Sé el primero en comentar.

Deja tu comentario