Grok Build envoyait des dépôts vers le cloud sans le consentement des développeurs Grouik Grouik Illustration : Flock Alexandre Laurent Le 15 juillet à 10h40 L’assistant dédié au code informatique de SpaceXAI, Grok Build, envoyait des projets entiers vers des serveurs distants, sans consentement préalable des développeurs concernés. L’entreprise et son patron Elon Musk ont reconnu le problème, assurant que les éléments distants seraient supprimés. Le comportement litigieux a été corrigé côté serveur, ce qui laisse donc la porte ouverte à une réactivation ultérieure.

Une erreur ? Voilà une publicité dont SpaceXAI se serait sans doute bien passé. Un chercheur en sécurité, connu sous le pseudonyme Cereblab, a documenté le 10 juillet dernier la façon dont l’assistant en ligne de commande (CLI) dédié au code Grok Build envoyait le contenu des dépôts sur lesquels travaille l’utilisateur vers des serveurs distants.

Un assistant IA un peu trop curieux Pour ce faire, il indique avoir simplement installé un proxy en sortie de sa machine, pour monitorer les échanges réseau. Sur un dossier de travail de 12 Go, il affirme avoir constaté que 5,1 Go de données, pourtant non manipulées lors de la session en cours, ont transité vers un bucket hébergé sur Google Cloud et avaient été « acceptés » par ce dernier. Dans le lot figurait notamment un fichier .env, envoyé sans rédaction automatique des secrets.

Son contenu se révèle pourtant sensible puisqu’il est dédié aux variables d’environnement telles que les clés d’accès aux interfaces de programmation (API) mises en œuvre dans le projet. Son analyse illustre deux canaux d’échange en parallèle : un canal « modèle » dédié aux traitements, par lequel seuls 192 ko de données ont transité, et un canal « stockage », qui a donc chargé 5,1 Go d’informations. Pour aller plus loin, le chercheur a reproduit la manipulation, mais avec un prompt indiquant explicitement à Grok Build de ne lire aucun fichier.

Là encore, il constate qu’un lot complet est expédié vers Google Cloud. Le chercheur explique ensuite avoir reproduit l’expérience avec Claude Code, Codex d’OpenAI et Gemini, sans constater de transfert de données inapproprié. Il se garde en revanche de spéculer sur la finalité de cet envoi de données.

« Rien de tout cela ne prouve que xAI [entraine ses modèles] sur les données. Ce qui est prouvé, c’est la transmission, l’acceptation et le stockage », écrit-il. Plusieurs témoignages partagés sur les réseaux sociaux abondent dans le sens de ses découvertes.

« Une simple commande vous permettra de voir si un fichier a été téléchargé : cat ~/.grok/logs/unified.jsonl | grep repo_state.upload », précise à ce sujet un développeur. SpaceXAI a réagi en modifiant le comportement litigieux, comme le souligne Cereblab dans une mise à jour datée du 14 juillet : « Depuis la publication : xAI a désactivé le chargement côté serveur (disable_codebase_upload : true) ; a ajouté une option de désactivation de la confidentialité (/privacy) — que j’ai testée et qui s’est avérée être un paramètre de conservation des données, et non un blocage de l’envoi. » SpaceXAI admet à demi-mots un problème L’entreprise n’a pas publié de note de version dédiée, mais elle s’est exprimée le 13 juillet sur X, en affirmant qu’aucune donnée n’était conservée pour les entreprises qui avaient fait le choix d’un fonctionnement sans rétention de données (ZDR). Pour les autres, elle indique que le nouveau paramètre /privacy permet de supprimer cette rétention de données directement depuis l’interface en ligne de commande, et que l’activation de cette dernière supprimait les données précédemment synchronisées.

Elon Musk a quant à lui minimisé la portée de l’incident, tout en assurant qu’en guise de mesure de précaution, toutes les données précédemment uploadées par SpaceXAI seraient supprimées. L’examen de la dernière version en date de Grok Build laisse toutefois supposer que la fonction d’envoi reste intégrée au client, ce qui signifie que SpaceXAI n’a pas bloqué en dur cette possibilité, mais simplement modifié à son niveau la politique associée. Un nouveau changement de configuration reste donc possible.

En attendant de voir si SpaceXAI clarifie la situation et propose des garde-fous plus solides, les utilisateurs de Grok Build ont sans doute intérêt à vérifier le statut de leurs propres dépôts et à en modifier les secrets. Économie Dans la foulée de son IPO, SpaceX rachète Cursor et ses modèles dédiés aux développeurs Économie Mardi 16 juin 2026 à 17h06 16/06/2026 17h06 13 Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous Furanku Premium Il y a 33 minutes Message 1 Signaler Bloquer cet utilisateur On apprendra d'ici peu que ces données auront été utilisées pour l'entrainement du modèle 🙃 ben51 Premium Il y a 25 minutes Message 2 Signaler Bloquer cet utilisateur Qui aurait pu prevoire Aqua Premium Il y a 23 minutes Message 3 Signaler Bloquer cet utilisateur C'est un peu les mêmes types qui ont piqué toutes les données privées des ricains sous l'étiquette DOGE et qui ont ensuite supprimé les logs qui auraient permis de les incriminer.Des champions. gg40 À l'instant Message 4 Signaler Bloquer cet utilisateur y-a des dev qui utilisent Grock ? Plus sérieusement, avec tous ces agents, il est difficile de savoir ce qui est fait ou non.Le niveau de détails affiché des action de Claude dans Claude Code n'a pas cessé de diminuer avec les mise à jour successives. Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ?

Non Oui