Présentation de l'incident

L'outil de codage Grok Build AI de SpaceXAI a été détecté en train de télécharger les codebases complètes de ses utilisateurs vers un stockage cloud avant d'être signalé, et l'entreprise l'a désactivé. Selon The Register, Cereblab a publié des résultats montrant comment la CLI Grok Build empaquetait et téléchargeait des référentiels de code entiers, y compris des fichiers qu'il ne devait pas ouvrir et des secrets supprimés de l'historique.

Fonctionnement de l'outil Grok

L'outil Grok Build AI de SpaceXAI utilisait une commande pour télécharger les codebases des utilisateurs. Les chercheurs ont constaté que l'outil téléchargeait plus de données que les outils similaires comme Claude Code. Le code source téléchargé pouvait inclure des informations sensibles telles que des vulnérabilités de sécurité, des données personnelles, des détails d'infrastructure et des informations d'identification.

Implications et limites

Dr. Lukasz Olejnik, un chercheur en sécurité indépendant à King's College London, a confirmé que ce niveau de rétention de données est excessif. Les données potentiellement à risque pourraient inclure du code source propriétaire, des informations sur les vulnérabilités de sécurité, des données personnelles, des détails d'infrastructure et des informations d'identification. Elon Musk a répondu à l'incident en affirmant que toutes les données précédemment téléchargées par Grok Build seraient supprimées.

Analyse de la réponse de SpaceXAI

SpaceXAI a initialement répondu à l'incident en affirmant que les utilisateurs pouvaient désactiver la rétention de données en utilisant la commande /privacy. Cependant, Cereblab a souligné que cette commande n'était qu'un commutateur de rétention par session et non le contrôle qui a réellement résolu le problème. Les tests des chercheurs ont montré que les serveurs de SpaceXAI retournaient désormais un indicateur « disable_codebase_upload : true » et que le téléchargement de codebase ne se produisait plus.

disable_codebase_upload: true

Elon Musk a également demandé aux utilisateurs d'autoriser SpaceXAI à conserver leurs données, affirmant qu'elles étaient utiles pour déboguer les problèmes. Cependant, les chercheurs ont souligné que la rétention de données excessive posait un risque pour la sécurité et la confidentialité des utilisateurs.