High-tech

Grok Build de SpaceXAI envoyait des dépôts de code sur le cloud sans le savoir.

Grok Build, l’outil de codage de xAI, expédiait des dépôts de code entiers vers le cloud à l’insu des développeurs, incluant des fichiers sensibles tels que le fichier .env. Sur un dépôt de test de 12 Go, 5,1 Go ont été envoyés vers les serveurs de xAI, alors que la tâche de codage demandée n’en nécessitait que 192 Ko.


Grok Build, l’outil de codage de xAI désormais intégré à SpaceX, expédiait des dépôts de code entiers vers le cloud sans connaissance des développeurs. La solution proposée par l’entreprise de Musk consiste en une commande de confidentialité à exécuter soi-même.

Un chercheur en sécurité, connu sous le pseudonyme de cereblab, a intercepté le trafic réseau de Grok Build, l’agent de codage en ligne de commande de xAI. Son observation révèle que l’outil empaquetait la totalité du dépôt Git dans lequel il opérait, incluant l’historique complet et le fichier .env (qui stocke les clés d’API et mots de passe), pour les transférer vers un bucket Google Cloud appartenant à l’entreprise. Sur un dépôt de test de 12 Go, 5,1 Go ont été envoyés aux serveurs de xAI, alors que la tâche de codage demandée n’en nécessitait que 192 Ko. Grok Build était pourtant commercialisé comme un outil « local-first », présenté comme devant conserver le code sur la machine de l’utilisateur. SpaceX a acquis xAI début 2026, fusionnant l’ensemble sous la marque SpaceXAI.

Un correctif a été déployé discrètement, par le biais d’un simple drapeau activé à distance côté serveur, sans divulguer d’avis de sécurité ni communiquer sur la situation des dépôts déjà transférés. Sur le réseau social X, le compte SpaceXAI a affirmé qu’il tenait « profondément » à la vie privée des utilisateurs, les dirigeant vers son mode zéro rétention, réservé aux entreprises, ou vers la commande /privacy à entrer dans le terminal. Elon Musk, directeur de SpaceX, a promis que les données déjà transférées seraient supprimées, tout en soulignant l’utilité de conserver une partie de ces données pour le débogage.

Si vous avez utilisé Grok Build sur un code propriétaire, il est conseillé de considérer vos identifiants comme exposés et de modifier vos clés d’API ainsi que vos mots de passe, y compris ceux cachés dans l’historique Git. Un drapeau côté serveur pourrait être réactivé à tout moment sans mise à jour ni consentement, ce qui ne pousse pas à faire confiance à cet outil pour des dépôts sensibles.