Yapay zekâ kodlama araçlarına güven tartışmasına çok önemli bir analiz düştü: Hacker News’ın zirvesine oturan bağımsız bir ağ trafiği incelemesine göre xAI’ın kodlama aracı Grok Build CLI, her oturumda kullanıcının kod deposundan devasa miktarda veriyi buluta yüklüyor — üstelik gizlilik anahtarı kapalıyken bile.
Araştırmacının 12 GB’lık test deposuyla yaptığı ölçüm şöyle: Araç, her oturumda yaklaşık 5,1 GB veriyi bir Google Cloud depolama kovasına gönderiyor. Modelle yapılan gerçek yazışmanın boyutu ise yalnızca 192 KB. Yani ajanın işini yapmak için okuduğu dosyalarla sınırlı olması beklenen trafik, deponun neredeyse yarısının dışarı taşınmasına dönüşüyor. En sarsıcı bulgu da şu: Araştırmacının depoya tuzak olarak yerleştirdiği sahte API anahtarı, yakalanan trafikte aynen görüldü — yani hassas veriler ayıklanmadan gidiyor.
Gizlilik anahtarı çalışmıyor iddiası
Analizin ikinci kritik iddiası, kullanıcıya sunulan kontrolün göstermelik olduğu yönünde: Uygulamadaki “modeli iyileştirmek için verilerimi kullan” anahtarını kapatmak, bu yüklemeyi durdurmuyor. Yüklemeyi engelleyen iki teknik bayrak mevcut — ancak ikisi de xAI’ın resmi dokümantasyonunda yer almıyor. xAI cephesinden analize kapsamlı bir yanıt henüz gelmedi; şirketin açıklamasını takip edip aktaracağız.
Ne yapmalı, nasıl okumalı?
Pratik öneriler net: Grok CLI kullanan ekipler, hassas depolarda aracı durdurmalı, ilgili teknik bayrakları araştırmalı ve depolarda düz metin hâlde duran anahtarları (zaten hiçbir araçla) barındırmamalı. Büyük resim ise tanıdık: Geçen hafta Alibaba’nın Claude Code hakkındaki güvenlik iddiasını, dün de yapay zekâ araçlarının API anahtarlarını hedefleyen npm saldırısını yazdık. Hepsinin ortak dersi şu — kodlama ajanları geliştiricinin en yetkili “çalışanı” hâline geldi; ama bu çalışanın eve giderken çantasına ne koyduğunu bilen çok az. Ağ trafiğini denetlemek, artık paranoya değil temel hijyen.
Bir uygulamanın ne yaptığını, vaat ettiklerinden değil ağ kablosundan geçen gerçek veriden okuma yöntemi. Araştırmacı, uygulamanın internete gönderdiği her paketi yakalayıp inceler — uygulama ne derse desin, trafik yalan söylemez. Bu vakada yöntemin gücü net görüldü: Arayüzdeki gizlilik anahtarı “kapalı” derken, kablodaki 5,1 GB başka bir hikâye anlatıyordu.
“Tuzak anahtar” (canary token) nedir?
Güvenlik araştırmacılarının veri sızıntısını kanıtlamak için kullandığı yem: Gerçek gibi görünen ama hiçbir yerde kullanılmayan sahte bir API anahtarı dosyalara yerleştirilir. Bu anahtar dışarıda — ağ trafiğinde ya da bir sunucu kaydında — görünürse, verinin sızdığı tartışmasız kanıtlanmış olur. Adı, madencilerin gaz kaçağını haber veren kanaryalarından gelir.
Etiketler: Grok CLI, veri gizliliği, xAI, yapay zekâ kodlama araçları, ağ analizi, geliştirici güvenliği
Günde sadece 1 TL'ye abone olarak tüm içeriklerimize sınırsız erişebilir ve bağımsız haberciliğe destek olabilirsiniz! Hemen Abone Ol





