Selon une enquête de Forbes, plus de 370 000 conversations entre utilisateurs et Grok, l’intelligence artificielle développée par xAI (la société d’Elon Musk), sont accessibles au grand public via une simple recherche Google. Des documents personnels, images et tableurs envoyés par des utilisateurs ont également été exposés.
Un simple partage… rendu public
Le problème provient du bouton share (partager) intégré dans Grok. Celui-ci permet de générer un lien unique pour partager une conversation avec un tiers. Mais ces liens, hébergés sur le site de Grok, ont été indexés par les moteurs de recherche. Résultat : des conversations accessibles par n’importe qui, et ce, via une recherche en ligne. Contrairement à d’autres services, aucun avertissement n’était affiché pour informer les utilisateurs que leurs échanges et fichiers seraient publiés sans restriction.
En parcourant ces pages, Forbes a découvert des conversations contenant des informations intimes (données médicales, psychologiques, voire des mots de passe). Des fichiers texte, images et feuilles de calcul partagés avec Grok pouvaient également être consultés librement.
Certains dialogues révèlent en outre que Grok a ignoré ses propres règles internes. L’IA a par exemple fourni des instructions sur la fabrication de drogues (fentanyl, méthamphétamine), la création de malwares ou d’explosifs, ainsi que des méthodes de suicide. Dans un cas extrême, Grok a même proposé un plan détaillé d’assassinat d’Elon Musk (là normalement il devrait réagir...).
Un précédent… et une ironie
Ce n’est pas la première fois qu’un tel incident survient dans le secteur. Des transcriptions ChatGPT avaient déjà été retrouvées dans Google, mais uniquement après un consentement explicite des utilisateurs dans le cadre d’un test rapidement abandonné.
L’affaire est d’autant plus ironique qu’Elon Musk avait accusé, l’an dernier, Apple et OpenAI de ne pas garantir la confidentialité des données des utilisateurs. Aujourd’hui, c’est sa propre IA qui se retrouve au cœur d’un scandale de confidentialité.
Quelles conséquences pour xAI ?
Au-delà du risque réputationnel, cette faille met en lumière un problème structurel : le manque de transparence sur l’usage et la diffusion des données. Si aucune fuite de comptes ou piratage direct n’a été rapporté, l’indexation massive de données privées sur Google constitue déjà un incident majeur de protection de la vie privée. xAI n’a pas encore communiqué officiellement sur la manière dont cette faille sera corrigée ni sur d’éventuelles mesures de protection supplémentaires.
