xAI stelt de broncode van coding-agent Grok Build open op GitHub, dagen nadat bleek dat diezelfde terminaltool complete codebases inclusief .env-secrets naar de eigen cloud van het bedrijf uploadde. De volledige code staat nu publiek onder xai-org/grok-build.
Voor een bedrijf dat AI-codeertools zakelijk inzet verandert dit de rekensom rond vertrouwen. Je kunt nu regel voor regel nalezen wat de agent met je code doet, en hem volledig lokaal draaien: zelf compileren en op je eigen inferentie richten, zodat codebases en sleutels je machine niet meer verlaten. Precies het probleem dat de tool eerder had, ligt daarmee in eigen hand.
Wat er nu open ligt
De vrijgegeven broncode omvat de agent-loop (hoe context wordt samengesteld en hoe tool-calls worden afgehandeld), de tools waarmee de agent code leest, bewerkt en doorzoekt, de terminal-UI met plan-review en diff-viewer, en het uitbreidingssysteem voor skills, plugins, hooks, MCP-servers en subagents. De agent draait op Grok 4.5 en is in Rust geschreven.

Gebruikslimieten gereset
Naast de code worden de server-side gebruikslimieten voor alle gebruikers gereset, meldt Crypto Briefing; zwaargebruikers liepen eerder tegen plafonds aan die hun toegang afknepen. Draai je de tool lokaal, dan gelden die cloud-limieten sowieso niet.
Reactie op het lek, of niet
xAI presenteert de stap zelf niet als antwoord op het datalek, maar als een manier om de agent robuuster en beter te doorgronden. De timing valt wel samen: enkele dagen eerder bleek dat Grok Build hele repositories, Git-historie en .env-secrets naar een Google-cloudbucket van xAI stuurde, waarbij de privacy-toggle de uploads niet stopte en er per sessie zo'n 5,10 GB wegvloeide op een testrepo van 12 GB. xAI's eerste ingreep was toen een server-side rem, terwijl de uploadcode gewoon in de binary bleef zitten. Nu de code open ligt en lokaal kan draaien, is dat upload-pad te controleren en te vermijden. Crypto Briefing leest de vrijgave dan ook als een opruimoperatie na het lek, niet als toeval qua timing.
Waar dit heen wijst
De verschuiving is groter dan één tool. Voor AI-codeeragents wordt inzichtelijkheid het nieuwe vertrouwensanker: niet de belofte van een leverancier dat je data veilig is, maar broncode die je zelf leest en infrastructuur die je zelf draait. Wie code en sleutels binnen de eigen muren houdt, ruilt “vertrouw de cloud” in voor “controleer en self-host”. Grok Build volgt daarmee een lijn die eerder zichtbaar werd toen bleek dat vrijwel elke AI-codeertool die je code leest ook je secrets meeleest: het risico zat nooit in dat ene product, maar in het model waarin je repo standaard naar een server van een ander gaat.
Veelgestelde vragen
Grip op je AI-tools
Wil je AI en agents inzetten zonder dat je code of data het pand uit gaat? Ik denk mee, ontwerp en bouw je oplossing end-to-end, self-hosted waar dat kan, van het eerste idee tot een werkend systeem.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
