Confidentialité des données
Grok Build téléchargeait des bases de code entières vers Google Cloud, découvrent des chercheurs
L'outil CLI Grok Build de SpaceXAI téléchargeait des bases de code entières vers le stockage cloud, ont découvert des chercheurs. Elon Musk affirme que toutes les données précédemment téléchargées seront supprimées.
Emmanuel Fabrice Omgbwa Yasse Assisté par IA
2026-07-17 · 2 min de lecture

L'outil CLI Grok Build de SpaceXAI conditionnait et téléchargeait l'intégralité des dépôts de code des utilisateurs vers Google Cloud, y compris les fichiers qu'on lui demandait d'ignorer et les secrets supprimés de l'historique Git, selon la société de cybersécurité Cereblab. L'entreprise a désormais désactivé la fonction de téléchargement après que les conclusions ont été rendues publiques.
Les chercheurs ont rapporté lundi que les serveurs de SpaceXAI renvoient désormais un indicateur disable_codebase_upload: true et que le téléchargement de la base de code « ne se déclenche plus ». La quantité de données conservées était nettement supérieure à celle que des outils similaires comme Claude Code traitent habituellement.
Elon Musk a répondu sur X, affirmant que toutes les données précédemment téléchargées seront « complètement et totalement supprimées ». Il a également demandé aux utilisateurs d'autoriser SpaceXAI à conserver leurs données, affirmant que c'est « utile pour déboguer les problèmes », et a insisté sur le fait que « les paramètres de confidentialité sont toujours respectés ».
Le Dr Lukasz Olejnik, chercheur indépendant en sécurité au King's College de Londres, a confirmé à The Verge que ce niveau de conservation des données est « excessif ». Il a averti que les données potentiellement à risque pourraient inclure « du code source propriétaire, des informations sur des vulnérabilités de sécurité, des données personnelles, des détails d'infrastructure, [et] des identifiants ».
SpaceXAI a d'abord répondu en orientant les utilisateurs vers la commande /privacy, qui, selon elle, pouvait désactiver la conservation des données et supprimer les données précédemment synchronisées. Cependant, Cereblab a rétorqué que /privacy est un « basculement de conservation par session », et non le commutateur qui a corrigé le problème de téléchargement, et qu'il n'aurait pas dû être présenté comme le contrôle.
Cet incident soulève de sérieuses questions sur les données que les outils de codage IA collectent et stockent par défaut, surtout lorsqu'ils opèrent avec un accès de niveau CLI à l'ensemble de l'environnement de développement d'un utilisateur. Pour les développeurs qui ont utilisé Grok Build, la mesure prudente consiste désormais à faire pivoter les identifiants et à auditer les secrets qui ont pu être exposés.
L'essentiel de la tech en 3 minutes chaque matin
Un email, chaque jour ouvré, avec ce qui compte vraiment en IA et en tech.