Das Geheimnis von Groks niedrigen Preisen: Code-Diebstahl?
In einer praktischen Testaufstellung hat ein Sicherheitsforscher ein lokales Coderepository von 12 GB eingerichtet. Bei dieser Aufgabenstellung betrug der gültige Anfrageverkehr für die Modellinteraktion nur 192 KB, aber Grok hat im Hintergrund stillschweigend ein vollständiges gepacktes Repository von 5,10 GiB hochgeladen.
Das Verhältnis beträgt 27800:1. Unterstützung beim Programmieren? Das ist eher ein Datentransfer im großen Stil.
Am 13. Juli entdeckten Sicherheitsforscher bei einer Netzwerkverkehrsanalyse der offiziellen Grok-CLI von xAI (npm-Paket @xai-official/grok Version 0.2.93): Vor und nach jeder Aufgabe packt Grok das aktuelle Arbeitsverzeichnis in Dateien namens before_codebase.tar.gz und after_codebase.tar.gz und lädt sie stillschweigend über einen separaten Umgehungskanal in einen Google Cloud-Speicher-Bucket von xAI hoch. Die hochgeladenen Pakete enthielten .env-Schlüssel, den vollständigen .git-Verlauf, die außerhalb des Repositorys liegende Datei ~/.claude.json sowie mehr als 30 Skill-Dateien.
Sicherheitsforscher haben dies praktisch überprüft: Selbst wenn in den Systemprompts ausdrücklich festgelegt ist, dass „keine lokalen Dateien gelesen werden dürfen“, wird die Logik des vollständigen Packens und Hochladens ausgelöst. Das Hochladeverhalten ist völlig unabhängig von der Modellaufgabe und ein fest in der untersten Ebene der CLI eingebetteter obligatorischer Prozess.
xAI reagierte schnell. In der frühen Morgendämmerung des 13. Juli schalteten sie das standardmäßige Hochladeverhalten über einen serverseitigen Fernschalter aus. Es gab jedoch keine Ankündigung, keine E-Mail-Benachrichtigung an bereits installierte Benutzer und keine Erklärung, warum dieses Design überhaupt existierte.
Aus rechtlicher Sicht ist dies schwer als „Diebstahl“ zu definieren. Genauer gesagt handelt es sich um eine „nicht ausreichend angekündigte standardmäßige vollständige Datenerfassung“ – eine Grauzone zwischen Benutzervereinbarung und Produktdesign. Grau bedeutet jedoch nicht gerechtfertigt. Wenn das Produktverhalten die standardmäßigen Erwartungen der Benutzer durchbricht, braucht es nur eine einzelne Paketerfassung, um das Vertrauen zu zerstören.
27800:1 – Alles zu detailliert erfasst
Emotionale Entladung ist einfach, strukturelle Nachforschungen sind schwer.
Im Internet wird über Elon Musk geschimpft, er sei „doppeltzüngig“. Er beschimpft täglich auf X andere KI-Unternehmen als nicht vertrauenswürdig, aber sein eigenes Tool tut das am wenigsten vertrauenswürdige Ding. Selbst die heftigsten Beschimpfungen bleiben auf der moralischen Ebene stecken.
Das Problem von Grok CLI liegt im Kern im Architekturdesign. Version 0.2.93 hat die Hochladelogik in den Standardprozess integriert: einen Umgehungskanal, zwei gepackte Dateien und keine Benachrichtigungen während des gesamten Vorgangs. Wenn all diese Dinge gleichzeitig auftreten, ist es schwer zu erklären, dass „ein Ingenieur aus Versehen eine Zeile Code falsch geschrieben hat“.
Ein Vergleich zeigt den Unterschied deutlich. Die persönliche Version von Claude Code und die kostenlose Version von GitHub Copilot verwenden standardmäßig eine „inkrementelle Erfassungslogik“, bei der nur die Codefragmente, Änderungsprotokolle und Korrekturfeedback hochgeladen werden, die mit der KI interagiert haben. Außerdem können Benutzer die Berechtigung „Zur Modellverbesserung verwenden erlauben“ in den Einstellungen manuell deaktivieren. Die Unternehmensversion unterstützt dagegen, dass Daten das Unternehmensnetz nicht verlassen und nicht am Training teilnehmen. Das ist ein Pufferbereich.
Bei xAI ist es anders: Vollständiges Packen, Hochladen über Umgehungskanäle, keine Benachrichtigungen während des gesamten Vorgangs und keine Schalter. Der Pufferbereich – direkt abgerissen.
Andere Hersteller „nehmen heimlich Daten“, aber xAI macht sich nicht einmal die Mühe, die Tür zu benutzen, und trägt die ganze Wand weg. Der Unterschied liegt nicht in der moralischen Überlegenheit, sondern in der Granularität der Compliance und der technischen Reife.
Du denkst, du rufst die KI auf – aber tatsächlich ruft die KI deinen Workflow auf.
Der Riss zwischen öffentlichem Image und Produkt ist auffälliger als der Code
Es gibt ein noch interessanteres Detail.
Was ist Musks öffentliches Auftreten in der Tech-Branche? Er ist derjenige, der behauptet, dass „eine übermäßige Konzentration von KI-Macht gefährlich ist“. Er hat OpenAI verklagt, das Monopol von Microsoft bekämpft und Open-Source sowie Transparenz propagiert. Aber das offizielle Tool von xAI packt und lädt die Code-Repositories, Schlüssel und den vollständigen Git-Verlauf der Benutzer hoch, ohne dass diese davon wissen. Die Behebung erfolgte durch stillschweigendes Fernabschalten – ohne Ankündigung, ohne Benutzerbenachrichtigung und ohne Erklärung.
Ein Unternehmen, das behauptet, gegen die Konzentration von KI-Macht vorzugehen, verwendet genau die Architekturlogik, die es bekämpft: Standardmäßig aktiviert, für den Benutzer unbemerkt, Daten fließen einseitig transparent, keine Erklärung danach.
Dies enthüllt eine tiefere Branchenrealität: Wenn Modellunternehmen dem doppelten Druck von Rechenkosten und Trainingsdaten ausgesetzt sind, wird „Benutzerkontrolle“ als erstes geopfert. Die Verwendung von Code zum Trainieren der Codegenerierungsfähigkeit ist einer der Wege mit den niedrigsten Kosten und der höchsten Datenqualität. Anstatt Datensätze zu kaufen, ist es einfacher, das Modell direkt mit den Repositories echter Entwickler zu füttern. Musk weiß, dass dies problematisch ist – aber er hat sich dafür entschieden, zuerst das Geschäftsmodell zum Laufen zu bringen.
Aber das ist nicht nur ein Riss zwischen Worten und Taten von Musk persönlich, sondern ein kollektives Paradox der gesamten KI-Branche. Hersteller erzählen öffentlich die Geschichte von „KI stärkt Einzelpersonen und Unternehmen“, aber das zugrundeliegende Geschäftsmodell aller führenden Hersteller basiert auf der Logik, dass „Benutzerdaten das Modell rückwärts füttern“. Je lauter das Image propagiert wird, desto mehr braucht das Geschäftsmodell eine Verpackung durch Werte. xAI hat es nur offener gemacht und die unausgesprochene ungeschriebene Regel der gesamten Branche direkt in den Produktcode geschrieben.
Diese aggressive Datenerfassung ist kein Zufall. Da die allgemeinen Internetdaten von großen Modellen vollständig ausgeschöpft sind, werden qualitativ hochwertige industrielle Codes und echte Geschäftslogiken von Unternehmen zum zentralen Treibstoff für die Iteration der nächsten Generation von Modellen. Wer mehr echte Ingenieurdaten erhält, kann einen generationsbedingten Vorsprung bei der Codierfähigkeit erzielen.
Anonymisierung schützt dich nicht – das Modell erkennt deinen Gang
Viele Leute denken: „Ich lösche die sensiblen Felder – das reicht doch!“ Leere die Schlüssel in .env, anonymisiere Kundendaten, entferne hartcodierte Passwörter.
Das ist zu naiv.
Was das Modell aus deinem Code extrahiert, sind nicht einmal die paar Klartextschlüssel – sondern Architekturideen, Fehlerbehebungserfahrungen, Geschäftslogik und Ingenieursparadigmen. Wenn ein SaaS-Unternehmen KI verwendet, um den Kerncode eines Kundenverwaltungssystems zu schreiben, werden selbst wenn alle Kundendaten und Klartextschlüssel gelöscht sind, die gleichzeitige Verarbeitungslogik, die Berechtigungsstufenarchitektur, die Ausweichlösungen für Ausnahmen und die Datenbankindexdesigns vom Modell absorbiert.
Wenn Konkurrenten derselben Branche dasselbe KI-Tool verwenden, erhalten sie indirekt die Fehler, die du mit Millionenaufwand gemacht hast. Das Modell lehrt deinen Konkurrenten kostenlos deine Architekturerfahrungen – und du bemerkst es überhaupt nicht.
Anonymisierung verbirgt nur dein Gesicht – das Modell erkennt deinen Gang.
Nach diesem Vorfall müssen alle Unternehmen, die KI-Codierungstools verwenden, neu rechnen: Wie viel sind deine Code-Vermögenswerte eigentlich wert?
Es wird empfohlen, den Code in drei Stufen zu unterteilen.
Stufe 1: Nicht-Kerncode (kann mit allgemeinen Tools verwendet werden). Open-Source-Komponenten, allgemeine Skripte, Frontend-Seiten und interne Hilfscode – ein Leck beeinträchtigt nicht die Kernkompetenz.
Stufe 2: Kern-Geschäftscode (benötigt private Bereitstellung). Hauptarchitektur des Produkts, Geschäftslogik, selbstentwickelte Algorithmen und Berechtigungssysteme – hier muss ein privat bereitgestelltes Modell verwendet werden, sodass Daten das interne Unternehmensnetz nicht verlassen.
Stufe 3: Geheimer Code (keine externen KI erlaubt). Verschlüsselungsprotokolle, Risikomodelle, Kernpatentalgorithmen und unveröffentlichte unterste Architekturen – keine Verbindung zu externen KI-Tools, vollständige manuelle Entwicklung und Überprüfung.
In Zukunft hängt der Unterschied in der KI-Codierfähigkeit von Unternehmen nicht nur von der Stärke des Modells ab, sondern auch davon, ob der Kerncode in den Trainingspool allgemeiner Modelle gelangt.
Der Fehltritt von xAI wird KI-Codierungstools nicht töten – aber das Geschäftsmodell des „standardmäßigen Hochladens“ wird sterben. Die Aufsicht wird natürlich folgen, aber die Aufsichtsgeschwindigkeit ist immer langsamer als die technische Entwicklung. Was die Veränderung wirklich vorantreibt, ist der Markt. Wenn Unternehmen erkennen, dass der wahre Preis des „kostenlosen Testens“ der Verlust von Code-Vermögenswerten ist, werden sie mit den Füßen abstimmen.
Eine kontraintuitive Wahrheit: Viele Leute denken, Open-Source-KI-Tools seien sicherer – aber tatsächlich haben viele Open-Source-Codierungstools ebenfalls versteckte Datenmelde-Logiken eingebaut. Die Sicherheitsgrenze hängt nicht von den Labels „Open Source“ oder „Closed Source“ ab, sondern nur davon, ob deine Daten das lokale System verlassen.
Nach diesem Vorfall werden die Datenschutzrichtlinien aller KI-Codierungstools gezwungen, neu überprüft zu werden. Die Aufsicht hat dieses Modell nicht getötet – aber der Markt hat ihm einen Preis gegeben.
Dein Code hat Grok beigebracht, wie man besseren Code schreibt – und Grok wird dir nicht sagen, was es gelernt hat.
Die ehrlichste Definition für kostenlose Tools – so ungefähr sieht sie aus.