Grok Build : l’outil de SpaceXAI envoyait des dépôts de code entiers sur le cloud à l’insu des développeurs

Alerte sur Grok Build

 
Grok Build, l’outil de codage de xAI passé sous la bannière SpaceX, expédiait des dépôts de code entiers vers le cloud à l’insu des développeurs. La parade proposée par la maison Musk : une commande de confidentialité à taper soi-même.

Un chercheur en sécurité connu sous le pseudonyme cereblab a intercepté le trafic réseau de Grok Build, l’agent de codage en ligne de commande de xAI.

Son constat : l’outil emballait l’intégralité du dépôt Git dans lequel il tournait, historique complet et fichier .env (le fichier qui stocke clés d’API et mots de passe) compris, pour l’envoyer vers un bucket Google Cloud maison. Sur un dépôt de test de 12 Go, 5,1 Go ont filé vers les serveurs de xAI, alors que la tâche de codage demandée n’en réclamait que 192 Ko. Grok Build était pourtant vendu comme un outil « local-first », censé garder votre code sur votre machine. SpaceX a racheté xAI début 2026 avant de fondre l’ensemble sous la marque SpaceXAI.

Un correctif en douce, une réponse qui passe mal

Le bouton « Improve the model », que beaucoup prennent pour un vrai refus, ne coupait pas ces envois. Le correctif est arrivé sans bruit, via un simple drapeau activé à distance côté serveur, sans avis de sécurité ni un mot sur le sort des dépôts déjà copiés.

Sur X, le compte SpaceXAI a répondu qu’il tient « profondément » à la vie privée et renvoie les utilisateurs vers son mode zéro rétention, réservé aux entreprises, ou vers la commande /privacy à taper dans le terminal. Elon Musk, patron de SpaceX, a promis que les données déjà téléchargées seraient effacées, tout en jugeant utile d’en garder une partie pour le débogage.

Pour aller plus loin
Grok 4.5 par xAI : l’IA d’Elon Musk pour coder à prix cassé fait l’impasse sur l’Europe

Si vous avez lancé Grok Build sur du code propriétaire, considérez vos identifiants comme exposés et changez vos clés d’API et mots de passe, y compris ceux enfouis dans l’historique Git. Un drapeau côté serveur peut être réactivé demain sans mise à jour ni consentement, ce qui n’incite pas vraiment à laisser cet outil approcher un dépôt sensible.


Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.

Recherche IA boostée par
Perplexity