Grok Build : SpaceXAI téléchargeait le code des utilisateurs
L'outil de programmation par intelligence artificielle Grok Build, développé par SpaceXAI, a été identifié comme transférant automatiquement l'intégralité des bases de code de ses utilisateurs vers le stockage cloud de Google. Cette pratique, rendue publique par les chercheurs de Cereblab ce lundi, a été interrompue par l'entreprise après leur signalement. Selon l'analyse technique publiée, l'interface en ligne de commande de Grok Build emballait et envoyait des dépôts de code complets. Cette collecte incluait des fichiers explicitement exclus par les développeurs ainsi que des secrets techniques supprimés de l'historique. La rétention de données ainsi réalisée dépassait largement les pratiques observées sur des outils concurrents. Immédiatement après les révélations, les serveurs de SpaceXAI ont cessé d'exécuter le transfert et renvoyaient désormais un indicateur technique confirmant la désactivation de la fonctionnalité. Elon Musk a réagi sur la plateforme X en garantissant que toutes les informations précédemment récupérées avaient été définitivement supprimées. Il a par ailleurs rappelé que les paramètres de confidentialité étaient respectés, tout en invitant les utilisateurs à conserver le transfert activé, précisant que cette collecte facilitait le débogage et l'amélioration du modèle. Cette position a suscité des interrogations au sein de la communauté développeuse concernant la gestion des données sensibles. Des experts en cybersécurité ont souligné les risques potentiels de cette politique initiale. Le chercheur indépendant Lukasz Olejnik, de King's College London, a qualifié la rétention de données de disproportionnée. Il a alerté sur la possible exposition d'informations critiques, notamment du code source propriétaire, des vulnérabilités de sécurité, des détails d'infrastructure et des identifiants d'accès. SpaceXAI avait d'abord indiqué qu'une commande dédiée permettait de limiter la conservation des données et de supprimer les fichiers déjà synchronisés. Les chercheurs ont toutefois nuancé ce message en précisant que cette fonctionnalité ne constituait qu'un paramètre temporaire par session et ne correspondait pas au correctif technique ayant mis fin au problème. Cet incident rappelle les enjeux croissants de la confidentialité dans l'utilisation des assistants de développement alimentés par l'intelligence artificielle, où la frontière entre l'optimisation des modèles et la protection des informations professionnelles demeure un sujet de vigilance constant.
