🚨Grok CLI da SpaceX enviou código de clientes sem pedir permissão
Gergely Orosz, jornalista de tecnologia e autor da newsletter The Pragmatic Engineer, revelou que desenvolvedores estão descobrindo que o Grok CLI, ferramenta de IA da xAI distribuída pela SpaceX, enviou trechos de código de suas empresas para os servidores da companhia sem aviso ou consentimento. A palavra que ele usou foi direta: "confiança queimada como se não houvesse amanhã". --- A resposta oficial da SpaceX tentou amenizar a situação, dizendo que equipes com retenção zero de dados estão protegidas e que existe um comando para desativar o envio. Mas o problema é justamente esse: a opção vinha ativada por padrão, e quem não sabia do comando já teve seu código enviado. --- Esse tipo de incidente é um alerta para qualquer empresa que adote ferramentas de IA no dia a dia. A pergunta básica que todo gestor deveria fazer antes de instalar qualquer assistente de código é: para onde vão os meus dados? Se a resposta não for cristalina, o risco é real.
Gergely Orosz, jornalista de tecnologia e autor da newsletter The Pragmatic Engineer, revelou que desenvolvedores estão descobrindo que o Grok CLI, ferramenta de IA da xAI distribuída pela SpaceX, enviou trechos de código de suas empresas para os servidores da companhia sem aviso ou consentimento. A palavra que ele usou foi direta: "confiança queimada como se não houvesse amanhã".
— @ View on X
Desenvolvedores que utilizam o Grok CLI, ferramenta de linha de comando da xAI distribuída pela SpaceX, tiveram trechos de código de suas empresas enviados automaticamente para servidores da companhia sem consentimento explícito ou aviso prévio. A revelação, publicada pelo jornalista Gergely Orosz, autor da newsletter *The Pragmatic Engineer*, expõe uma falha crítica de privacidade em assistentes de IA generativa voltados para programação.
O caso veio à tona quando profissionais relataram descobrir, *post facto*, que seu código proprietário havia sido transmitido durante o uso da ferramenta. A transmissão ocorria por padrão, sem notificação clara durante a instalação ou execução dos comandos. Em suas redes, Orosz foi direto: "Recebi mensagens de desenvolvedores preocupados porque seus códigos foram enviados sem conhecimento ou consentimento pelo Grok CLI. Confiança queimada como se não houvesse amanhã".
A resposta da SpaceX e o problema do opt-out
A SpaceX reconheceu o comportamento do CLI, afirmando que equipes configuradas com retenção zero de dados (*zero data retention*) não foram afetadas e que existe um comando específico para desativar o envio de informações. Contudo, a controvérsia reside exatamente na arquitetura padrão da aplicação: a telemetria de código vinha ativada por *default*, exigindo que o usuário buscasse ativamente a opção de desligamento — modelo de opt-out em vez de opt-in.
Essa abordagem contradiz práticas básicas de segurança de dados, onde o consentimento deve ser explícito antes de qualquer transmissão de propriedade intelectual para infraestrutura externa.
Implicações para compliance e segurança no Brasil
Para *builders* e empresas brasileiras, o incidente serve como alerta sobre os riscos de compliance na adoção de ferramentas de IA. Aplicações que transmitem dados para endpoints externos sem consentimento explícito violam princípios fundamentais da LGPD (Lei Geral de Proteção de Dados) e expõem código-fonte a jurisdições estrangeiras, potencialmente comprometendo segredos industriais.
A questão transcende a política interna da SpaceX: qualquer CLI, plugin de IDE ou copilot de código que opere com telemetria ativa por padrão representa vetor de vazamento de dados sensíveis. Antes de integrar qualquer assistente de IA ao workflow de desenvolvimento, equipes de segurança devem auditar políticas de *data retention*, verificar se a transmissão exige consentimento explícito e mapear geograficamente para onde o código é enviado. Se essas informações não estiverem transparentes nos termos de serviço ou na documentação técnica, o risco à soberania dos dados corporativos é inaceitável.