Grok Build téléchargeait discrètement la totalité de votre codebase dans le cloud. xAI a désormais désactivé cette fonction.
Des chercheurs ont découvert que le nouvel outil de codage de xAI envoyait beaucoup plus de données à ses serveurs que les utilisateurs ne le savaient, notamment des fichiers qu'ils avaient explicitement exclus et des identifiants sensibles.

Points clés
- Grok Build, l'outil de codage par IA de xAI, téléchargeait des dépôts de code entiers vers Google Cloud sans consentement explicite de l'utilisateur, selon les chercheurs en mai 2025.
- Les téléchargements incluaient des fichiers que les utilisateurs avaient demandé à l'outil d'ignorer, ainsi que des secrets précédemment supprimés de l'historique du projet.
- Depuis lundi, les serveurs de xAI renvoient désormais un signal qui désactive les téléchargements de codebase, et les téléchargements ont cessé.
- Elon Musk a posté que toutes les données précédemment téléchargées seront « complètement et totalement supprimées ».
- Un chercheur en sécurité indépendant a qualifié la rétention de données d'« excessive », notant qu'elle pourrait exposer le code propriétaire, les mots de passe et les vulnérabilités de sécurité.
Grok Build est l'assistant de codage en ligne de commande de xAI, un outil développeur que vous installez sur votre ordinateur et utilise pour écrire et modifier des logiciels avec l'aide de l'IA. Des chercheurs d'une entreprise appelée Cereblab ont publié des résultats cette semaine montrant que l'outil empaquetait des dossiers de projet entiers et les envoyait au stockage Google Cloud avant chaque interaction avec l'IA.
Cela seul a soulevé des questions. Ce qui a alarmé les experts en sécurité, c'est le détail : les téléchargements incluaient des fichiers que les utilisateurs avaient spécifiquement demandé à l'outil de ne pas ouvrir, ainsi que des identifiants (mots de passe et clés d'accès) que les développeurs avaient déjà supprimés de l'historique de leur projet.
Des outils similaires, notamment Claude Code d'Anthropic, ne collectent pas près de cette quantité de données.
Selon un premier rapport de The Verge AI, le chercheur indépendant en sécurité Dr. Lukasz Olejnik du King's College London a confirmé que la masse de données était « excessive ». Les informations potentiellement collectées pourraient inclure du code source propriétaire, des détails sur les faiblesses de sécurité des systèmes, des données personnelles, des fichiers de configuration d'infrastructure et des identifiants de connexion.
Pour les développeurs ordinaires, ce sont exactement les fichiers que vous ne voudriez jamais confier à un tiers.
Les développeurs doivent-ils s'inquiéter des données déjà téléchargées ?
Oui, mais xAI dit agir rapidement. Elon Musk a posté sur X que toutes les données collectées précédemment par Grok Build seront « complètement et totalement supprimées ». Les téléchargements eux-mêmes ont déjà cessé : Cereblab a confirmé que les serveurs de xAI envoient désormais un signal indiquant à l'outil de ne pas télécharger les codebases, et leurs tests montrent que le transfert n'a plus lieu.
La première réponse publique de xAI a orienté les utilisateurs vers une commande appelée /privacy dans l'outil, suggérant qu'elle arrêterait la rétention de données. Cereblab a contesté cette explication. La commande /privacy bascule uniquement la rétention de données pour une seule session. Ce n'était pas la correction qui a réellement arrêté les téléchargements massifs.
Musk a également posté que « les paramètres de confidentialité sont toujours respectés », tout en demandant séparément aux utilisateurs de laisser xAI conserver leurs données pour l'aider au débogage. Cette combinaison a semblé contradictoire à certains observateurs.
Si vous avez utilisé Grok Build sur un projet contenant des mots de passe, des clés API (codes donnant accès aux services) ou une logique métier sensible, considérez ces identifiants comme potentiellement compromis. Renouvelez tous les secrets qui se trouvaient dans ces dépôts. Cela prend quelques minutes et élimine entièrement le risque.



