En juillet 2026, l’outil d’assistance au codage de xAI transmet des dépôts complets de développeurs vers des serveurs distants, sans leur consentement. Clés API, mots de passe, historiques Git : rien n’échappe à cette aspiration massive. Le volume de données collectées dépasse de 27 800 fois ce qui était nécessaire pour répondre aux requêtes des utilisateurs. Pour les dirigeants et responsables RSE, ce scandale Grok Build révèle une faillite totale de la gouvernance d’entreprise.
Le scandale Grok Build : symptôme d’une gouvernance défaillante
Le 12 juillet 2026, Cereblab, chercheur en sécurité IA indépendant, découvre que la version 0.2.93 de Grok Build envoie l’intégralité des dépôts Git vers un bucket Google Cloud Storage contrôlé par xAI. L’historique complet des commits, les fichiers supprimés depuis longtemps, les données sensibles : tout transite sans filtre. L’affaire atteint la une de Hacker News deux jours plus tard, le 14 juillet, provoquant une onde de choc dans la communauté des développeurs.
Absence de consentement explicite : violation du principe de responsabilité
Aucun avertissement clair n’informe les utilisateurs de cette transmission massive. Le bouton « Improve the model » suggère un contrôle, mais ne concerne que l’utilisation des données pour entraîner l’IA, pas leur envoi vers les serveurs de xAI. Cereblab piège son dépôt de test avec un fichier explicitement exclu de toute lecture par l’IA. Résultat : le fichier se retrouve intact dans les données transmises. Sam Altman, PDG d’OpenAI, réagit sur X le 14 juillet en qualifiant la situation d’« inquiétante » (« Concerning »). Pour une entreprise qui prétend révolutionner l’intelligence artificielle, cette défaillance éthique interroge sur la maturité de ses processus de gouvernance.
Transmission non annoncée de données sensibles : manque de transparence radical
Les fichiers .env contenant des clés API de test et des mots de passe de bases de données transitent sans redaction. Selon eWeek, le volume de données envoyé dépasse de 27 800 fois ce qui était nécessaire. xAI corrige le problème via un réglage technique côté serveur (disable_codebase_upload: true) sans annonce publique préalable. Les utilisateurs découvrent la correction par hasard, après analyse du trafic réseau. Aucune communication officielle n’anticipe ou n’accompagne la mise à jour. Pour les responsables RSE, cet épisode illustre un échec complet de la transparence attendue d’une entreprise responsable.
L’historique de Musk : promesses non tenues et crédibilité ébranlée
Elon Musk, propriétaire de X et PDG de xAI, répond au scandale par une série de promesses. Le 15 juillet 2026, il annonce sur X : « Une fois notre examen des vulnérabilités de sécurité terminé, nous rendrons l’intégralité du code source de X open source, sans aucune exception. De plus, nous inviterons des auditeurs tiers à examiner le système en fonctionnement pour confirmer que le code open source correspond bien à ce qui est exécuté. » Problème : Musk accumule les engagements non tenus depuis trois ans.
Mars 2023 : première promesse d’open source, abandonnée sans explication
En mars 2023, une version partielle de l’algorithme de X est déposée sur GitHub. Aucune mise à jour ne suit. Le dépôt reste figé, sans explication ni communication. Les développeurs attendent en vain les améliorations promises. La question de la responsabilité dans l’utilisation de l’IA se pose déjà à cette époque, mais xAI ne semble pas en tirer de leçons.
Janvier 2026 : engagement de mises à jour mensuelles jamais livré
En janvier 2026, Musk promet des mises à jour mensuelles du code source de X. Six mois plus tard, aucune mise à jour n’a été publiée. Les équipes de xAI restent silencieuses. Les utilisateurs et observateurs constatent un schéma récurrent : annonces fracassantes, absence de suivi. Pour les dirigeants soucieux de gouvernance, ce comportement constitue un signal d’alarme majeur sur la fiabilité de la parole donnée.
Juillet 2026 : nouvelles promesses de suppression de données sans audit indépendant
Après la découverte de Cereblab, Musk promet la suppression complète de toutes les données utilisateur collectées avant le 12 juillet. Aucun audit indépendant ne confirme cette purge. The Register rapporte que SpaceX open source Grok Build la même semaine, mais sans garantie de vérification. Les développeurs affectés restent dans l’incertitude : leurs clés API compromises ont-elles vraiment été effacées ? Leurs historiques Git sensibles sont-ils définitivement supprimés ? Impossible de le savoir.
Absence de vérification indépendante : la faille de la confiance
Cereblab souligne dans une déclaration reprise par The Register : « /privacy est un bouton de rétention par session, pas l’interrupteur qui a corrigé ce problème, donc il ne devrait pas être présenté comme le contrôle. Et aucun développeur ne devrait avoir à exécuter un opt-out après chaque session pour garder son propre code hors des serveurs de quelqu’un d’autre. Le bon paramètre par défaut est off. » Pour les responsables de la gouvernance des données, ce constat résume l’enjeu : le consentement explicite doit précéder toute transmission, pas la suivre.
Promesse d’audit tiers : suffisante ou insuffisante ?
Musk promet des auditeurs tiers pour vérifier le code source de X. Mais qui seront ces auditeurs ? Quand interviendront-ils ? Selon quels critères ? Aucune réponse précise n’accompagne l’annonce. xAI fait déjà face à des poursuites judiciaires pour d’autres manquements, ce qui renforce le scepticisme des observateurs. Sans calendrier, sans méthodologie, sans engagement contractuel, la promesse reste une coquille vide. Les dirigeants responsables savent qu’un audit crédible exige transparence, indépendance et publication des résultats.
Responsabilité d’une entreprise face aux utilisateurs affectés
Les développeurs dont les dépôts ont été transmis méritent une réponse claire : quelles données ont été collectées ? Pendant combien de temps ? Qui y a eu accès ? Ont-elles été utilisées pour entraîner des modèles ? xAI ne fournit aucune réponse détaillée. Les Numériques soulignent que 48 heures après avoir aspiré le code de milliers de développeurs, Musk promet de rendre X open source, sans traiter le problème immédiat. Pour une entreprise responsable, la priorité devrait être la notification individuelle, la transparence totale et la compensation des risques encourus.
