xAI a rendu Grok Build entièrement open source le 15 juillet 2026. La décision n’était pas au programme : c’est un incident de confidentialité, découvert par des chercheurs en sécurité, qui a forcé la main de l’entreprise d’Elon Musk.

Des dépôts privés envoyés sur des serveurs Google
Le problème est sérieux. Des versions précédentes de Grok Build synchronisaient automatiquement des dépôts de code complets, y compris des données sensibles, vers des serveurs Google Cloud. Sans consentement explicite des utilisateurs. Pour quiconque utilisant l’outil sur des bases de code propriétaires ou confidentielles, c’est une faille critique.
xAI affirme avoir supprimé l’ensemble des données précédemment téléchargées et désactivé la rétention côté cloud. La mesure de transparence qui en découle : rendre le code source intégralement public, afin que les utilisateurs puissent vérifier eux-mêmes ce que l’outil fait avec leur code.
Ce qu’est Grok Build
Grok Build est l’agent de codage de xAI. Lancé en bêta autour de mai 2026, c’est une interface terminal (TUI, Terminal User Interface) écrite en Rust qui permet de lire, modifier, rechercher et exécuter du code via le modèle Grok. Il supporte un système d’extensions incluant des plugins, des hooks, des serveurs MCP et des sous-agents. Depuis le 8 juillet 2026, il tourne sur Grok 4.5, la dernière version du modèle de xAI.
Concrètement, Grok Build est la réponse de xAI à Claude Code (Anthropic) et Codex CLI (OpenAI) : un agent autonome capable de naviguer dans une base de code, de comprendre sa structure et d’implémenter des modifications sur instruction en langage naturel.
Ce que l’open source change vraiment
La source complète est disponible sur GitHub sous le dépôt xai-org/grok-build. Le release inclut la boucle d’agent principale, tous les outils d’interaction avec le code (lecture, édition, recherche, exécution), l’interface terminal et le système d’extension complet. Les développeurs peuvent désormais inspecter chaque couche de l’outil et le modifier pour leurs propres flux de travail.
Deux changements concrets découlent de l’exécution locale. Le premier est la confidentialité : le code ne quitte plus jamais la machine de l’utilisateur. Le second est la suppression des limites d’usage cloud. xAI a également corrigé ce même jour un bug de cache qui faisait comptabiliser les requêtes plus vite que prévu, et réinitialisé les compteurs de tous les utilisateurs affectés.
Un tournant pour la transparence des agents de codage
L’incident Grok Build pose une question qui dépasse xAI. Les agents de codage travaillent par définition sur des bases de code entières, souvent propriétaires. Ils accèdent à des fichiers de configuration, des clés API, des schémas de base de données, du code non publié. La question de ce que ces outils font des données qu’ils traitent n’a jusqu’ici pas été posée frontalement dans le secteur.
Claude Code, Codex CLI et leurs concurrents n’ont pas encore eu à répondre publiquement à des incidents similaires. Mais l’affaire Grok Build devrait accélérer les audits de sécurité dans l’ensemble de l’industrie. Pour les utilisateurs professionnels, la règle de base reste la même : avant de donner à un agent un accès à votre dépôt, vérifiez où part le trafic réseau.