Un chercheur en sécurité connu sous le pseudonyme cereblab a intercepté le trafic réseau de Grok Build, l’agent de codage en ligne de commande de xAI.
Son constat : l’outil emballait l’intégralité du dépôt Git dans lequel il tournait, historique complet et fichier .env (le fichier qui stocke clés d’API et mots de passe) compris, pour l’envoyer vers un bucket Google Cloud maison. Sur un dépôt de test de 12 Go, 5,1 Go ont filé vers les serveurs de xAI, alors que la tâche de codage demandée n’en réclamait que 192 Ko. Grok Build était pourtant vendu comme un outil « local-first », censé garder votre code sur votre machine. SpaceX a racheté xAI début 2026 avant de fondre l’ensemble sous la marque SpaceXAI.
Le bouton « Improve the model », que beaucoup prennent pour un vrai refus, ne coupait pas ces envois. Le correctif est arrivé sans bruit, via un simple drapeau activé à distance côté serveur, sans avis de sécurité ni un mot sur le sort des dépôts déjà copiés.
Sur X, le compte SpaceXAI a répondu qu’il tient « profondément » à la vie privée et renvoie les utilisateurs vers son mode zéro rétention, réservé aux entreprises, ou vers la commande /privacy à taper dans le terminal. Elon Musk, patron de SpaceX, a promis que les données déjà téléchargées seraient effacées, tout en jugeant utile d’en garder une partie pour le débogage.
Pour aller plus loin Grok 4.5 par xAI : l’IA d’Elon Musk pour coder à prix cassé fait l’impasse sur l’Europe
Co-fondateur et directeur de publication Frandroid
C'est enregistré ! Surveillez votre boîte aux lettres, vous allez entendre parler de nous !






