xAI a publié aujourd’hui en open source Grok-Build, son outil en ligne de commande pour développeurs. Le code est désormais disponible sur GitHub sous licence Apache 2.0, à en croire le dépôt de l’entreprise. Cette mise en ligne arrive après la révélation d’un mécanisme qui envoyait des dossiers entiers et des dépôts Git vers un bucket Google Cloud Storage contrôlé par xAI.
La publication du code complet intervient dans la foulée d’un sérieux incident de confidentialité. D’après les analyses publiées par des chercheurs en sécurité et plusieurs développeurs, un mécanisme expédiait discrètement des dossiers entiers et des dépôts Git vers un bucket Google Cloud Storage géré par l’entreprise.
Le sujet a très vite pris de l’ampleur. Toujours selon ces analyses, les données transmises pouvaient contenir l’historique complet des commits, mais aussi des fichiers très sensibles présents dans les répertoires des utilisateurs.
Au moment où nous écrivons ces lignes, xAI assure que les données déjà envoyées seront « entièrement supprimées », comme l’a promis Elon Musk. À ce stade, aucune vérification indépendante de cette suppression n’a été publiée. xAI a désactivé la fonction côté serveur, sans demander aux utilisateurs d’appliquer eux-mêmes un correctif manuel. Nous continuerons à suivre l’affaire.
Et le problème ne se limitait pas à quelques fichiers de trop. Selon les analyses publiées par des chercheurs en sécurité et des développeurs, Grok-Build n’envoyait pas seulement les fichiers utiles à une tâche précise.
Dans un test largement repris par la communauté, une opération qui n’exigeait que 192 Ko a pourtant déclenché l’envoi de 5,1 Go de données, soit environ 27.800 fois plus que nécessaire. Plus inquiétant encore, d’après ces mêmes signalements, ces transferts avaient lieu même quand l’utilisateur demandait explicitement à l’outil de ne pas lire certains fichiers. En clair, les garde-fous qu’on pouvait attendre n’empêchaient pas l’exfiltration de contenu local vers l’infrastructure de xAI.
Les rapports parlent notamment d’envois de clés SSH, de bases de données de mots de passe, de clés d’API et d’autres identifiants stockés dans les dossiers synchronisés.
Pour les développeurs concernés, le risque est double: une atteinte directe à la vie privée, et l’exposition d’accès techniques susceptibles de déclencher des compromissions en chaîne. L’épisode contredit aussi la communication précédente de l’entreprise. Le réglage de confidentialité affiché sous la mention « Improve the model » n’empêchait pas ces envois, alors même que xAI avait affirmé plus tôt que « rien de votre codebase n’est transmis aux serveurs de xAI pendant une session ».
xAI a maintenant mis sur GitHub l’intégralité des 844.530 lignes de code Rust de Grok-Build.
Le dépôt GitHub contient encore des traces désactivées de la fonctionnalité d’upload. Au moins, cela permet à la communauté de contrôler plus facilement le comportement futur du logiciel. xAI a aussi ajouté une commande « /privacy » pour désactiver la rétention et supprimer les données précédemment synchronisées. L’entreprise affirme par ailleurs que les clients professionnels couverts par des accords de non-rétention des données n’ont pas été touchés, et que le stockage est désactivé par défaut depuis le 12 juillet.
Mais l’ouverture du code n’efface pas ce qui a déjà été envoyé.
Des spécialistes de la sécurité recommandent aux utilisateurs de Grok-Build antérieurs au correctif de renouveler leurs identifiants, de renouveler leurs clés et de vérifier l’état de leurs dépôts. La prudence reste de mise. Au-delà du cas xAI, cet épisode relance la discussion sur la transparence des outils de codage, sur la minimisation des données et sur d’éventuelles suites réglementaires.
Suivez-moi sur Twitter: @pierrevitre