Le CLI de codage Grok Build de xAI a été découvert en train de télécharger des dépôts Git entiers, y compris l’historique complet des commits, vers un espace de stockage Google Cloud géré par xAI, au lieu des seuls fichiers nécessaires à une tâche de codage.
Cette fonctionnalité inattendue, révélée par The Hacker News, soulève des questions importantes sur la confidentialité des données. Le Grok Build, un outil d’aide au codage développé par xAI, est censé faciliter le travail des développeurs. Cependant, son comportement de téléchargement va au-delà des attentes.
Un chercheur, publiant sous le pseudonyme cereblab, a intercepté l’un de ces téléchargements lors de tests de la version 0.2.93 de l’outil. Il a pu reconstituer le dépôt Git complet à partir de la requête interceptée, récupérant même un fichier que l’agent avait été explicitement instruit de ne pas lire. Cela indique une collecte de données potentiellement excessive et non autorisée.
Cette pratique expose les utilisateurs à des risques de fuite d’informations sensibles et de propriété intellectuelle. Elle met en lumière la nécessité d’une transparence accrue et d’un contrôle rigoureux des données traitées par les outils d’IA, particulièrement ceux intégrés aux flux de travail de développement.
La découverte de ce comportement interroge sur la confiance que les développeurs peuvent accorder à ces assistants de codage.
Source : The Hacker News