Eräs tyyppi hakkeroi Perplexity-tietokoneen saadakseen "rajattoman Claude-koodin" vetämällä tokenin ulos Claude-koodin ajonajasta.. ja se näytti olevan vapaa ~18 tuntia Mekanismi oli melkein tylsä: NPM lukee ~/.npmrc, joten hän lisäsi solmujen esilatausskriptin, joka ajoi ennen Claude Codea, ja dumppasi ENV VARSin.. mukaan lukien proxy-token, jolla tavoitti Clauden Hän siirsi tokenin omalle kannettavalleen ja suoritti OPUS-puhelut Perplexityn välityspalvelimen kautta. Sitten hän näki, ettei lopputekstit liikkuneet (hänen raporttinsa).. Niinpä hän päätteli (ennenaikaisesti), että kyseessä oli pääavain. @perplexity_ai perustaja Denis Yarats puuttui asiaan: token ei ollut piilotettu API-avain.. Se oli istuntoon sidottu ja laskutettu käyttäjälle.. Ilmainen osa oli todennäköisesti asynkroninen laskutuksen viive Todellinen eskalaatio tapahtui sen jälkeen.. Hän rakensi haitallisen taidon nähdäkseen, voisiko agentti tulla huijatuksi asentamaan koodia, joka automaattisesti poistaa kyseisen tokenin, jolloin joku muu voi ajaa Clauden läpi istuntosi samalla kun sinä maksat Johtopäätökseni: Agenttien turvallisuus ei ole vankilapakoista kiinni... Kyse on siitä, kuinka rennosti annamme tiedostojärjestelmien, ympäristövarien ja kannettavien tokenien koskettaa toisiaan 👀