gość zhakował komputer perplexity, aby uzyskać "nieograniczony kod claude", wyciągając token z runtime kodu claude.. i wyglądało to na darmowe przez ~18 godzin mechanizm był prawie nudny: npm odczytuje ~/.npmrc, więc dodał skrypt preload node, który uruchamiał się przed kodem claude i zrzucał zmienne środowiskowe.. w tym token proxy używany do dotarcia do claude przeniósł ten token na swój własny laptop i uruchomił połączenia opus przez proxy perplexity. Potem obserwował, że kredyty się nie zmieniają (jego raport).. więc doszedł do wniosku (przedwcześnie), że to był klucz główny. współzałożyciel @perplexity_ai Denis Yarats wszedł do akcji: token nie był ukrytym kluczem API.. był związany z sesją i obciążany na użytkownika.. darmowa część prawdopodobnie wynikała z opóźnienia w rozliczeniach asynchronicznych prawdziwa eskalacja przyszła później.. zbudował złośliwą umiejętność, aby sprawdzić, czy agent mógłby zostać oszukany w instalacji kodu, który automatycznie eksfiltruje ten token, pozwalając komuś innemu uruchomić claude przez twoją sesję, podczas gdy ty płacisz moje wnioski: bezpieczeństwo agenta nie dotyczy jailbreaków.. chodzi o to, jak swobodnie pozwalamy, aby systemy plików, zmienne środowiskowe i przenośne tokeny się ze sobą stykały 👀