Ein Typ hat den Computer von Perplexity gehackt, um "unbegrenzten Claude-Code" zu erhalten, indem er ein Token aus der Claude-Code-Laufzeit herausgezogen hat.. und es sah für ~18 Stunden kostenlos aus. das Mechanismus war fast langweilig: npm liest ~/.npmrc, also fügte er ein Node-Preload-Skript hinzu, das vor dem Claude-Code ausgeführt wurde und Umgebungsvariablen ausgab.. einschließlich des Proxy-Tokens, das verwendet wurde, um auf Claude zuzugreifen. Er verschob dieses Token auf seinen eigenen Laptop und führte Opus-Anfragen über den Proxy von Perplexity aus. Dann beobachtete er, dass die Credits sich nicht bewegten (seine Meldung).. also schloss er (vorzeitig) daraus, dass es sich um einen Master-Key handelte. @perplexity_ai Mitbegründer Denis Yarats sprang ein: Das Token war kein versteckter API-Schlüssel.. es war sitzungsgebunden und dem Benutzer in Rechnung gestellt.. der kostenlose Teil war wahrscheinlich eine asynchrone Abrechnungsverzögerung. die eigentliche Eskalation kam danach.. er baute eine bösartige Fähigkeit, um zu sehen, ob ein Agent dazu verleitet werden konnte, Code zu installieren, der dieses Token automatisch exfiltriert, sodass jemand anderes Claude über deine Sitzung ausführen kann, während du zahlst. Mein Fazit: Die Sicherheit von Agenten geht nicht um Jailbreaks.. es geht darum, wie lässig wir es zulassen, dass Dateisysteme, Umgebungsvariablen und tragbare Tokens miteinander in Berührung kommen 👀