'XAI laat 370.000 Grok-chats door zoekmachines indexeren'

XAI heeft 370.000 chats tussen gebruikers en zijn chatbot Grok laten indexeren door Google, claimt Forbes. Vaak gebeurde dat zonder medeweten of toestemming van gebruikers. Ook afbeeldingsbestanden, spreadsheets en sommige tekstdocumenten zijn toegankelijk.

Forbes ontdekte dat een unieke URL wordt aangemaakt wanneer een gebruiker op de 'delen'-knop klikt in een van zijn of haar chats. Daarmee kan de gebruiker het gesprek delen via onder meer e-mail en sms. Zoekmachines als Google en Bing indexeren die URL echter ook, zonder dat de gebruiker daar toestemming voor geeft. Volgens Forbes zijn er meer dan 370.000 gesprekken tussen gebruikers en Grok geïndexeerd.

Enkele gesprekken zijn relatief onschuldig, zoals een vraag over de staatsschuld onder de regering van de Italiaanse premier Giorgia Meloni vergeleken met eerdere regeringen. Forbes heeft echter ook gesprekken gevonden over intieme vragen over de fysieke en mentale gezondheid van gebruikers. Eén Grok-gebruiker had zelfs een wachtwoord met de bot gedeeld.

Andere gebruikers vroegen Grok om handleidingen voor het maken van illegale drugs als fentanyl, het programmeren van malware of het bouwen van een bom. Grok presenteerde ook een gedetailleerd plan voor een moordpoging op Elon Musk, de eigenaar van xAI. Deze verzoeken zijn in strijd met de voorwaarden van xAI, die het gebruik van Grok om schade aan mensen toe te brengen verbieden.

Eerder stond ook ChatGPT zoekmachines toe om chats te laten indexeren. Die optie was opt-in, maar toch merkten verschillende media op dat ook veel persoonlijke chats in Google leken te verschijnen. OpenAI besloot daarom te stoppen met de functie.

Door Imre Himmelbauer

Redacteur

20-08-2025 • 16:33

29

Reacties (29)

Sorteer op:

Weergave:

Ik weet nog hoe paranoide we allemaal waren begin jaren nul: gebruik nooit je eigen naam. stel je verjaardag in op een random datum als je dan toch een profiel moet maken, en ga er vanuit dat alles openbaar is. Al mijn vrienden online waren minstens 80 jaar oud en hoofdzakelijk op 1 januari jarig. Natuurlijk was het ook onpraktisch om te onthouden wie bij welk mailadres, MSN account of hyves pagina hoorde, maar de reden waarom we dit zo deden is vandaag de dag relevanter dan toen. Je dacht wel 2x na voordat je ook maar iets op het web zette dat aan jou als persoon gekoppeld kon worden.

Maar anno 2025 denk ik niet dat iemand mij serieus neemt als sollicitant als ze bijvoorbeeld eis-t_121245@gmail.com zien staan. Hoe brengen we de netiquette terug op een manier die past bij dit moment?
Hmm, ben jij ook geboren op 1 januari 1970, heet John Do, met email address foo@bar.com?
Dat is ook toevallig :P
Ik stuur vrijwel alle zakelijke emails via mijn recordlabel webmail. Ramteam Records. De enigen die of gewoon helemaal niét reageren of met een zinloos grapje dat niemand leuk vindt, zijn Nederlanders en Belgen. Verder krijg ik er nooit op- en aanmerkingen over. De meest recente ongevraagde adviezen, gingen over mijn domeinnaam. Maar de domeinnaam is niets anders dan mijn handelsmerk :') en daar verdien ik mijn brood mee. Een Azerbaijaanse klant (ik doe namelijk ook ghost productions) vond mijn handelsmerk en dus website geweldig, vooral de historie ervan. Het zijn echt alleen azijnzeikende Nederlanders (en een paar Belgen) die overal een probleem van maken. Ik heb ook een Gmail adres, maar daar doe ik mijn persoonlijke dingen mee en die bevat mijn voorletter en achternaam. Maar zakelijk doe ik absoluut niets met Gmail, gezien ze overal in mee kunnen kijken als ze dat zouden willen. Mijn webmail draait op een eigen server en is behoorlijk beveiligd door het hostingbedrijf (staat los van mijn website hosting, wel onder dezelfde domeinnaam).
Het interesseert deze bedrijven werkelijk geen ene reet meer, er wordt op geen enkel moment meer nagedacht over de 'gebruiker' en of het wel ok is wat ze doen.
Dan ligt het ook aan de gebruiker, want die weet ondertussen ook wel hoe het gaat bij die bedrijven. Het boeit de gebruiker ook niks. Dat zie je wel aan het gebruik van instagram, facebook, whatsapp, twitter etc..
Ik denk just dat de meeste mensen geen flauw idee hebben van wat deze bedrijven achter de schermen allemaal met hun gegevens doen. En als we ze het vertellen luisteren ze er niet naar. Tel daarbij op dat deze apps zo verslavend mogelijk worden gemaakt en je hebt een hele kudde schapen die je kunt blijven melken.

Dit is mijns inziens echt een probleem dat op overheidsniveau opgelost moet worden want zelfregulatie (zowel vanuit de bedrijven als vanuit de consument) is een gepasseerd station. Consumenten blijven de dopamine najagen een bedrijven blijven de winsten najagen.
"En als we ze het vertellen luisteren ze er niet naar"

sterker nog: als je daar wat van zegt dan ben je een 'complot denker' - aangevuurd door reguliere media die zeggen dat het allemaal zo erg niet is.

"een probleem dat op overheidsniveau opgelost moet worden"

Waarom zou de overheid dat willen oplossen? Ze profiteren maar al te graag mee van die data- zowel in het westen als in andere delen van de wereld waar we minder zicht op hebben. Maar zelfs hier in het westen is een en ander erg bedenkelijk aan het worden...
Alles is netjes gereguleerd maar wanneer bedrijven zoals Twitter daar laks aan hebben duurt het vervolgens maanden zo niet jaren alvorens iets gebeurd. En daar ligt het pijnpunt Musk weet dat hij fout zit maar hij weet ook ondanks dat hij fout zit het nog wel even duurt eer de EU er iets van zegt en vervolgens duurt het nog langer dat hij een straf misschien krijgt en dan nog langer omdat hij in hoger beroep gaat. Misdaden die hij vandaag begaat worden op z'n best 5 jaar later bestraft en dan krijgt hij een strafje waar niemand van wakker ligt.

Het is veel makkelijker, ik zit in China, wanneer iets mis gaat ben ik persoonlijk de klos. Specifiek als het op gebruikers privacy aankomt is men hier heel strict en zie je partijen zoals Douyin/Tiktok, Tencent/Wechat dan ook bijna nooit negatief in het nieuws, iedereen houd zich netjes aan de regeltjes zo niet ga je zelf de bak in en je bedrijf stopt.

Zolang we in het Westen bedrijven en de eigenaren niet verantwoordelijk houden hoeven we niks te verwachten. En ergens wil ik graag geloven als CEO dat hij misschien hier geen weet vanaf heeft, maar zorg er op z'n minst voor dat het recht snel functioneerd en straffen als straffen worden ervaren. Als Twitter zich misdraagt leg een straf op die niet een paar procent van de omzet is maar die 100% van de winst, onaftrekbaar is. Zorg ervoor dat een bedrijf onder toezicht komt en eigenlijk bijna niks meer kan voor een jaartje of 2. Of zorg ervoor dat een platform zoals Twitter geen recht van bestaan krijgt binnen de EU. Maar anders.. waarom zouden we verbetering verwachten?
BIk denk wel dat er meer oorzaken te verzinnen zijn. Bijvoorbeeld dat werk WhatsApp gebruikt en dus WhatsApp toch nodig hebt.

Veel mensen in mijn omgeving zijn gewoon niet technisch aangelegd (bijvoorbeeld dat ik al moest helpen met de formulier dat meta de gesprekken niet mag gebruiken voor AI training). Iets nieuws leren op ICT gebied is lastig voor ze. Dus zelfs als ze ergeren aan big tech kunnen ze er niets aan doen.

Veranderding kan lastig zijn voor mensen. Niet alleen voor de niet technische mensen maar ook ICT mensen kunnen er last van hebben. Ik heb er ook last van. Eén van de reden dat ik zo weinig mogelijk update. Vooral voor omdat voor mij de verandering vaak gewoon minder fijn werkt.

De aantal mensen is gewoon te klein om een impact te maken. Of je hebt te weinig om mensen je die je gaan volgen. Want waarom zou iemand naar Facebook / Instagram concurrentie gaan om een paar vakantie foto's van je te bekijken?

Het overschakelen kan lastig / ingewikkeld zijn of niet toegestaan. Bijvoorbeeld en custom rom instaleren. Ik heb het nooit gedaan uit angst dat het verkeerd gaat. Nu leef ik ook van een uitkering dus even een nieuwe telefoon kopen als het verkeerd gaat is ook niet makkelijk. Maar ook zal de verandering voor mij veel problemen geven. En ook weet ik niet of elke baas blij is als je dit zou doen op een werk telefoon. Maar ook is het lastig / onmogelijk om je "geschiedenis" mee te nemen. Bijvoorbeeld je gesprekken overzetten naar een andere chatapp of heb je software gekocht wat niet op een andere syseem werkt.
Ik ben het met je eens, maar... hoe vaak moet het nog fout gaan voordat we massaal met zijn allen big tech eens goed ter verantwoording roepen of gewoon laten vallen?!
Ik gebruik in ieder geval niets meer van Google, Meta of X.
Dan ben ik er natuurlijk nog lang niet en blijf je afhankelijk van een paar grote partijen, maar ik maak wel bewust keuzes, als er een niet-Amerikaans alternatief wat ook voldoet aan mijn eisen dan kies ik die.
Same here... maar ja, iets met druppel en gloeiende plaat...
Blijven druppelen... uiteindelijk koelt de plaat af en loopt er misschien ergens misschien wel wat over....

Andersom: als mensen roepen "ik vind het maar niets die wat Google/Meta/XTwitter doet; maar ik blijf het gewoon gebruiken" dan komt de boodschap ook niet over.
Nee, natuurlijk eens. Duh. Maar dat is wel wat de overgrote meerderheid van de gebruikers nu doet.
(Was geen kritiek op je opmerking hoor)
Ik denk dat dat nooit (meer) gaat gebeuren. De geest is al uit de fles en zal er niet meer terug in gestopt kunnen worden. Ik ben realistisch genoeg om te geloven dat het er niet meer van gaat komen en dat we moeten leren leven met de gevolgen.

Wel zie ik nog steeds goede initiatieven en kleine vormen van verzet. Het zal niet genoeg zijn, maar wel goed dat er iets gebeurt.
Vaak gebeurde dat zonder medeweten of toestemming van gebruikers.
Ehm, en dit is toegestaan? Ik mag toch hopen dat hier toch minstens een opt-in constructie zou worden gebruikt?

Als gewone gebruiker wil je dit toch niet, als het om gevoelige informatie gaat, zoals in genoemde voorbeelden.

Misschien wel handig als een toezichthouder vanuit de EU hier eens naar gaat kijken, als er ook data van Europese gebruikers bij zit dan. Een deskundige mening lijkt me hier wel wenselijk.
Niet alleen dat, maar het is een manier om je concurrent dwars te zitten. De makkelijkste manier om een LLM te vernielen is om het de output van een LLM te voeden. (Zoals bij de meeste lerende algoritmes het geval is). Dus Google die haar LLM wil trainen op zoek data, moet nu gaan filteren
Als je een gesprek deelt, hoe weet Google dan wat de link is? Hoe werkt dat precies? Google kan er toch alleen maar komen als er ergens een sitemap is waar de link is gedeeld?
Google hun 'recept' is natuurlijk geheim, maar ze maken er niet bepaald een geheim van dat:
  • Chrome een van de bijdragende factoren is voor search ranken, dus is een link geopend in chrome, weet google er van.
  • Google doet ook aan veel AI trainen en negeert wat privacy zaken
  • Google heeft ladingen crawlers, die door klink naar doorklik volgen en zo het hele web indexeren. Deelt iemand die link ergens waar Google er bij kan? Dan vind men het. Is er ergens een of andere lijst van 'alle' gedeelde links intern bij Twitter/X/weyland? Dan weet google dat weer verder te crawlen.
een link geopend in chrome, weet google er van.
Dat vind ik echt schokkend. Kun je daar bewijs van leveren? Daar gaat onze information security officer niet blij mee zijn.
Je kan eens kijken in de CrUX dataset on BigQuery deze is gratis (max x aantal queries per dag) publiek beschikbaar. Hierin vindt je alle "pagespeed" resultaten van google chrome wereldwijd, incl, browser versie en getailleerde data over page performance en de bijbehorende urls e.d. van de afgelopen 8 haar oid.

Ik weet niet of dit opt-in is of dat alle chrome browsers dit standaard doen, het is iig een flinke database.

[Reactie gewijzigd door jurgen1976 op 20 augustus 2025 23:18]

Dan is de vraag kunnen ook anderen (niet google) hier dan ook bij? Misschien zijn er wel meerdere bots die dit scrapen?
Daarmee kan de gebruiker het gesprek delen via onder meer e-mail en sms.
Wellicht doordat Google of Microsoft bij het scannen van inkomende emails ook de links in de mails scant en onder bepaalde omstandigheden ook indexeert voor hun zoekmachine?
Wie gaat hier nu in de fout, Grok of Google? Want als je een share functie gebruikt om een, by design, publiek toegankelijke URL aan te maken. Dan is het niet onlogisch dat die URL ook effectief publiek toegankelijk is.
/offtopic [van data lekken]
Wel bijzonder weer dat AI wordt ingezet voor hulp bij het maken van:
  • nare drugs
  • moordplannen
  • bommen
  • malware
ai....
(het zijn dan weer wel de zaken waarbij ik hoop op hallucinaties... :9 )
Ik verwacht dat 99% daarvan mensen zijn die met de AI spelen om te kijken of ze uit de AI-gevangenis kunnen breken.
Hahaha mallemoer aan reclames door door die zoekmachine
Wanneer gaat de EU nu 's eindelijk ingrijpen tegen mr. Musk zijn bedrijven en zijn onbeperkte verzamelzucht?

Op dit item kan niet meer gereageerd worden.