Công nghệ

Giao một tác vụ nhỏ cho trợ lý AI, giới lập trình sững sờ khi phát hiện toàn bộ bí mật dự án đã nằm trên máy chủ từ bao giờ

Lộc Hải 17/07/2026 11:00

Công cụ AI Grok Build của xAI do Elon Musk sáng lập vừa bị phát hiện âm thầm gửi mã nguồn lên máy chủ. Sự cố buộc giới lập trình phải đổi mật khẩu khẩn cấp.

Khi một nhà phát triển phần mềm mở công cụ hỗ trợ viết mã Grok Build của công ty xAI, họ thường chỉ mong đợi một chu trình làm việc cơ bản. Trí tuệ nhân tạo sẽ đọc các tệp liên quan, xử lý yêu cầu lập trình và trả về kết quả tối ưu nhất. Không một ai ngờ rằng trong lúc tác vụ vài trăm kilobyte đang được thực thi, toàn bộ gia tài kỹ thuật của họ lại đang âm thầm di chuyển lên đám mây.

Hàng GB dữ liệu được chuyển lên

Sự thật về công cụ do tỷ phú Elon Musk sáng lập chỉ được đưa ra ánh sáng khi một nhà nghiên cứu bảo mật ẩn danh mang tên cereblab can thiệp. Bằng cách sử dụng phần mềm phân tích lưu lượng mạng, chuyên gia này đã soi chiếu chính xác những gói tin mà Grok Build chuyển đi trong quá trình hoạt động. Kết quả thực nghiệm ngay lập tức tạo ra một cú sốc lớn trong giới công nghệ.

Giao một tác vụ nhỏ cho trợ lý AI, giới lập trình sững sờ khi phát hiện toàn bộ bí mật dự án đã nằm trên máy chủ từ bao giờ - Ảnh 1.
Công cụ Grok Build của xAI

Trên một kho lưu trữ mã nguồn có dung lượng 12GB, thuật toán thực chất chỉ cần khoảng 192KB dữ liệu để hoàn thành tác vụ được giao. Thay vì vậy, lượng dữ liệu thực tế bị đẩy lên máy chủ chạm mốc 5,1GB, đồng nghĩa với mức chênh lệch lên tới gần 27.800 lần so với nhu cầu sử dụng thực tế. Toàn bộ gói thông tin khổng lồ này được chuyển thẳng tới một thùng chứa trên hệ sinh thái Google Cloud mang định danh grok-code-session-traces dưới quyền kiểm soát tuyệt đối của xAI.

Mối nguy từ lịch sử làm việc bị phơi bày

Vấn đề nghiêm trọng nhất không nằm ở dung lượng, mà nằm ở tính chất nhạy cảm của những thứ bị đem đi. Thuật toán của Grok Build không chỉ rà quét các tệp tin đang mở mà còn gom sạch toàn bộ lịch sử chỉnh sửa mã nguồn của dự án. Điều này đồng nghĩa với việc hàng loạt thông tin tối mật như khóa truy cập giao diện lập trình, thông tin cơ sở dữ liệu hay mật khẩu nội bộ dù đã được xóa sạch từ nhiều năm trước vẫn bị bới lên và gửi đi nguyên vẹn.

Trong quá trình thực nghiệm, một tệp tin chứa thông tin đăng nhập của nhà nghiên cứu đã được truyền đi mà không hề trải qua bất kỳ bước mã hóa hay che đậy nào. Nhiều kỹ sư phần mềm cho rằng họ đã an toàn khi chủ động tắt tùy chọn chia sẻ dữ liệu ngay từ đầu. Tuy nhiên, nút gạt mang tên Improve the model trên giao diện thực chất chỉ mang lại một cảm giác an toàn giả tạo.

Kết quả kiểm tra cho thấy dù người dùng đã tắt tùy chọn này, kho mã nguồn vẫn tiếp tục bị tải lên mạng và máy chủ xAI vẫn ghi nhận trạng thái thu thập dữ liệu đang hoạt động. Lý do sâu xa là nút gạt đó chỉ quyết định việc dữ liệu có được dùng để đào tạo mô hình trí tuệ nhân tạo hay không, chứ không hề có khả năng ngăn chặn dữ liệu rời khỏi máy tính của người dùng. Sự mập mờ trong cách diễn giải tính năng đã khiến hàng loạt người dùng rơi vào thế bị động.

Cách xử lý lặng lẽ từ xAI

Chỉ một ngày sau khi báo cáo phân tích bảo mật lan truyền rộng rãi, hành vi tải dữ liệu trái phép đã đột ngột dừng lại. Đội ngũ xAI đã chọn cách xử lý khủng hoảng theo hướng âm thầm nhất có thể bằng việc thay đổi cấu hình phía máy chủ. Công ty không phát hành bất kỳ bản vá lỗi nào, không đưa ra thông báo bảo mật chính thức và cũng không có một lời giải thích thỏa đáng cho hành vi thu thập dữ liệu khổng lồ ngay từ đầu.

Ông Elon Musk sau đó đã lên mạng xã hội X để xoa dịu dư luận bằng tuyên bố toàn bộ dữ liệu bị tải lên sẽ được xóa bỏ hoàn toàn. Dù vậy, giới chuyên gia bảo mật lưu ý rằng đoạn mã thực thi chức năng thu thập dữ liệu vẫn đang nằm nguyên trong phần mềm. Chúng chỉ tạm thời bị vô hiệu hóa bởi một câu lệnh từ máy chủ trung tâm và công ty hoàn toàn có thể kích hoạt lại bất cứ lúc nào mà không cần người dùng cập nhật ứng dụng.

Khi đặt lên bàn cân, các công cụ lập trình trí tuệ nhân tạo phổ biến khác như Claude Code hay Codex đều không có hành vi tự ý sao chép toàn bộ kho dự án. Grok Build hiện là cái tên duy nhất trong phân khúc vướng phải kịch bản thu thập dữ liệu diện rộng này.

Bài học nhãn tiền cho giới kỹ sư phần mềm là sự cảnh giác cao độ trước các công cụ mới nổi. Đối với bất kỳ ai từng khởi chạy Grok Build, hành động thiết thực nhất lúc này không phải là chờ đợi xác nhận từ nhà phát triển. Người dùng cần chủ động thay đổi ngay toàn bộ mật khẩu, khóa bảo mật và thông tin nhạy cảm từng xuất hiện trong các dự án của mình, kể cả những thông số đã nằm sâu trong dĩ vãng của lịch sử lưu trữ.

Theo Kiến thức đầu tư | 2026-07-16 23:56
https://dautu.kinhtechungkhoan.vn/giao-mot-tac-vu-nho-cho-tro-ly-ai-gioi-lap-trinh-sung-so-khi-phat-hien-toan-bo-bi-mat-du-an-da-nam-tren-may-chu-tu-bao-gio-1457389.html
Đừng bỏ lỡ
    Đặc sắc
    Nổi bật Người quan sát
    Đọc tiếp
    Giao một tác vụ nhỏ cho trợ lý AI, giới lập trình sững sờ khi phát hiện toàn bộ bí mật dự án đã nằm trên máy chủ từ bao giờ
    POWERED BY ONECMS & INTECH