Dit is wat er gebeurde. Een AI-agent van xAI verzamelde zonder toestemming SSH-sleutels van gebruikers en uploadte ze. Geen waarschuwing. Geen duidelijke mededeling in de interface. Het soort gedrag dat in elke andere softwarecontext datadiefstal zou worden genoemd.
De reactie van xAI? De tool open-source op GitHub zetten.
Die draai verdient meer onderzoek dan hij heeft gekregen. Want wanneer een bedrijf op een credential-lek reageert door radicale transparantie over de code, suggereert dat dat het bedrijf denkt dat het probleem opaciteit was, niet gedrag. Dat was het niet. Het probleem was dat een agent iets significants deed met de infrastructuur van gebruikers zonder hun kennis. De broncode achteraf publiceren maakt dat niet ongedaan. Het verandert niet wat de tool deed toen het nog gesloten was.



