● Numerama Cyber 📅 13/03/2026 à 16:12

Géopolitique 👤 Amine Baba Aissa

🏷️ Tags : chine anthropic pm rag rte

Lecture Zen Résumer l'article Le chercheur Yousif Astarabadi a réussi à exploiter une faille dans Perplexity Computer pour utiliser Claude Opus 4.6 sans frais apparents, en modifiant le fichier .npmrc pour exécuter un script au démarrage du programme. Il conclut à tort que l'accès est gratuit, car Perplexity a expliqué que la facturation est asynchrone, et a mis à disposition les détails des événements de facturation pour ses tests. L'inquiétude porte sur le fait que le token d'accès exfiltré pourrait être exploité par des scripts malveillants, une faille de sécurité que Perplexity n'a pas encore commentée. Le chercheur Yousif Astarabadi a réussi à exploiter une faille dans Perplexity Computer pour utiliser Claude Opus 4.6 sans frais apparents, en modifiant le fichier .npmrc pour exécuter un script au démarrage du programme. Il conclut à tort que l'accès est gratuit, car Perplexity a expliqué que la facturation est asynchrone, et a mis à disposition les détails des événements de facturation pour ses tests. L'inquiétude porte sur le fait que le token d'accès exfiltré pourrait être exploité par des scripts malveillants, une faille de sécurité que Perplexity n'a pas encore commentée. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Sur X, un chercheur en cybersécurité affirme avoir obtenu un accès illimité à Claude Opus 4.6 en exploitant l’infrastructure de Perplexity Computer. Si la démonstration technique est réelle, les conclusions sur la facturation sont à nuancer. Le 12 mars 2026, Yousif Astarabadi, gérant d’une startup à San Francisco, publie un article sur X qui circule rapidement dans les communautés friandes des dernières nouveautés IA. Le titre est accrocheur : il aurait obtenu un accès illimité à Claude Opus 4.6, le modèle le plus élaboré d’Anthropic. La clé de cet exploit ? Perplexity Computer, un produit lancé la veille, qui permet à un agent IA d’exécuter du code dans un environnement isolé, que l’on appelle un sandbox. La première observation de M. Astarabadi est celle qui va le pousser à mener l’enquête. Pour fonctionner à l’intérieur de ce nouvel environnement, Claude Code a besoin d’une clé d’accès à l’API d’Anthropic et cette clé doit bien se trouver quelque part dans l’espace d’exécution. « Un prompt. Trois commandes » et zéro dollar dépensé plus tard, le chercheur crie victoire. Après avoir exfiltré le token, Astarabadi l’a configuré sur son propre ordinateur et a utilisé Claude Opus 4.6 sans voir ses crédits bouger d’un centime. Selon lui, la facture aurait été envoyée directement à Perplexity. Pas si vite. Votre vie privée doit rester privée. Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles. Sponsorisé Je protège ma vie privée simplement Dans un article publié sur X, Yousif Astarabadi relate les différentes étapes de son enquête. // Source : Capture d’écran compte X : @YousifAstar Six tentatives infructueuses, puis le jackpot ? Dans son thread détaillé, Yousif Astarabadi explique ne pas être parvenu à mettre la main sur la clé du premier coup et décrit six tentatives infructueuses. Parmi elles, déposer des scripts piégés et demander au sous-agent de révéler ses variables d’environnement. Mais à chaque fois, l’intention est identifiée et la requête refusée. Le vecteur qui a finalement fonctionné réside dans la mécanique de démarrage de l’application. Claude Code est lancé via npm, un gestionnaire de paquets standard de l’écosystème JavaScript. À chaque démarrage, npm lit automatiquement un fichier de configuration appelé .npmrc, situé dans le répertoire personnel de l’utilisateur, que Yousif Astarabadi peut donc librement modifier. La faille est identifiée : .npmrc dispose d’une option qui permet de passer des instructions à l’interpréteur au moment du lancement, dont l’une force le chargement d’un module JavaScript avant même que l’application principale ne commence à s’exécuter. En y glissant une ligne qui active cette option et pointe vers un script de son choix, Astarabadi s’assure que ce script sera exécuté à chaque démarrage de Claude Code, avant les vérifications de sécurité. Une facturation asynchrone Dans ce script, le chercheur se contente de lire les variables d’environnement du processus et d’en copier le contenu dans un fichier accessible sur le workspace partagé. La séquence complète tient en trois commandes. L’attaque ne consiste pas à convaincre l’IA de faire quelque chose de problématique, elle contourne simplement les mécanismes de sécurité. Astarabadi récupère ainsi un token qui lui permet d’appeler Claude Opus depuis son propre ordinateur et génère délibérément un volume massif de tokens pour tester la facturation. Ses crédits Perplexity ne bougent pas, il en conclut que la facture part sur le compte maître de Perplexity. Seulement voilà. Perplexity a répondu publiquement en expliquant que le token récupéré n’est pas une clé API partagée, mais un token généré spécifiquement pour chaque session utilisateur. Aussi, si Astarabadi n’a pas vu ses crédits diminuer en temps réel, c’est simplement parce que la facturation est asynchrone. Perplexity lui a d’ailleurs partagé le détail des 197 événements de facturation générés par ses tests, ce que le chercheur a confirmé. this isn’t accurate. that is an extracted proxy token, not the API key. it directly bills the user account. full details here: https://t.co/wjfK81ysKo— Denis Yarats (@denisyarats) March 13, 2026 Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus) En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires. Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies. J’accepte tout Gérer mes choix Bonne exfiltration, mauvaise conclusion La conclusion la plus spectaculaire du thread, celle de l’accès « gratuit et illimité », ne tient donc pas. Ce qui reste vrai, en revanche, c’est que l’exfiltration a fonctionné. Le token a pu être extrait du sandbox et utilisé depuis une machine extérieure, et c’est précisément ce vecteur qu’Astarabadi juge préoccupant : « Si le jeton est lié à la facturation de l’utilisateur et fonctionne en dehors du sandbox, il devient une cible facile pour les injections. Une page web malveillante visitée par l’agent pourrait y insérer la même charge utile .npmrc, exfiltrer le jeton de l’utilisateur et le facturer pour une utilisation par un tiers. » Un argument qui, pour le moment, reste sans réponse de la part de Perplexity. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : Montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub Anthropic API Claude Code cybersécurité faille hack Intelligence artificielle Perplexity Intelligence artificielle Tech

🔗 Lire l'article original 👁️ 1 lecture