
El CLI de Grok se está subiendo tu repositorio completo a Google Cloud
Un investigador independiente, con nick @cereblab, publicó esta semana un análisis forense del CLI oficial Grok Build de xAI, y los números son de esos que te hacen mirar dos veces la pantalla antes de seguir tecleando. En un repositorio de prueba de 12 GB, el canal que el modelo necesitaba para responder movió 192 KB. El canal paralelo, en un endpoint bautizado POST /v1/storage, se llevó 5,10 GiB en 73 chunks, todos con HTTP 200, directo a un bucket de Google Cloud Storage llamado grok-code-session-traces.
Esa es una razón de 27.800 a 1 entre lo que el agente realmente necesitaba y lo que salió de tu máquina. La explicación es simple y a la vez brutal: el CLI no sube solo los archivos que lee. Sube todo el repositorio como un git bundle, incluyendo el historial completo, aunque le digas explícitamente «no leas nada». El investigador lo comprobó con un archivo canary que el agente tenía prohibido abrir: apareció tal cual en el bundle capturado.
Lo peor: las credenciales
Si trabajas con un .env en la raíz del proyecto — como hacemos todos en la pega, en la changa, en cualquier lado — ese archivo viaja sin redactar. Cereblab plantó una credencial falsa (API_KEY=CANARY7F3A9-SECRET) y la recuperó completa en el tráfico, tanto en el canal del modelo como en el canal de storage. En un segundo experimento, con un archivo que simulaba credenciales de base de datos, pasó exactamente lo mismo.
Y aquí viene el detalle que más rabia da: xAI tiene un toggle visible en la configuración llamado «Improve the model». Uno lo apaga pensando que ya está, que sus datos no salen. Falso. Cereblab muestra que el endpoint /v1/settings sigue devolviendo trace_upload_enabled: true aunque la palanca esté en off. El toggle solo controla si tus datos se usan para entrenar, no si se suben.
Lo que sí funciona (y no está documentado)
La comunidad en Hacker News rápidamente desenterró dos flags que no aparecen en la documentación oficial:
[harness] disable_codebase_upload = trueen~/.grok/config.toml[telemetry] trace_upload = falseen el mismo archivo
Como variables de entorno, los equivalentes son GROK_TELEMETRY_TRACE_UPLOAD=0 y GROK_TELEMETRY_ENABLED=0. Funcionan, pero el hecho de que tengas que conocer la llave interna para apagar lo que debería estar apagado por defecto ya dice bastante sobre la postura de la empresa.
Mi opinión, en buen chileno
Esto me toca de cerca. Cuando instalas un agente de coding en tu laptop, lo haces pensando que es una herramienta local que habla con una API. No que es un cliente de sincronización forzada que empaqueta tu proyecto, lo cifra de forma opaca para ti, y lo sube a un bucket cuyo nombre ni siquiera es de xAI, sino de Google Cloud. Eso no es telemetría, es exfiltración, y la diferencia importa.
Llevamos dos años con la fiebre de los agentes de IA en la línea de comandos. Claude Code, Codex, ahora Grok Build, todos corriendo con permisos totales sobre tu home. Y la pregunta que nadie quiere hacerse es: ¿cuántos de nosotros hemos subido secretos a la nube sin darnos cuenta? Yo, la primera vez que vi esto, revisé mis logs antiguos y me dio lata lo que encontré.
La solución no es dejar de usar estas herramientas. La solución es tratarlas como lo que son: binarios que ejecutan código remoto con acceso a tu disco. Eso significa:
- Correrlas en una VM desechable o en un contenedor con bubblewrap, como ya muestran varios usuarios en el hilo de HN.
- Montar el directorio del proyecto en read-only cuando no necesites que escriban.
- No confiar nunca en un toggle visible. Mitmproxy es barato, y un canary en el
.envte dice la verdad en 5 minutos. - Rotar las credenciales que hayan estado en cualquier proyecto donde corriste un agente sin sandbox.
El mercado va a empezar a evaluar a los vendors no por lo que dice la página de settings, sino por lo que realmente cruza la red. Si vendes un coding agent, espera que te hagan esta misma prueba la próxima semana. Y si lo usas, hermano, por favor: enciérralo en una jaula antes de seguir.
Fuente de inspiración: What xAI’s Grok build CLI sends to xAI: A wire-level analysis (HN discussion)
