Hacked Perplexity Computer and got unlimited Claude Code 🤖

Сегодня хочу рассказать про интересное исследование Perplexity Computer - отличный пример того, где ломается agent‑инфраструктура.

Исследователь изучал sandboxing multi‑agent системы и обнаружил внутри sandbox установленный Claude Code (Node.js, bypass‑permissions mode) Поэтому возник вполне логичный вопрос - где хранится Anthropic API key и как он изолирован?

6 попыток вытащить ключ провалились - модель и prompt‑safety реально отработали хорошо:
🔴 dump process.env - отказ
🔴 троян на shared FS - агент понял подвох
🔴.bashrc / PATH hijack —-не сработало
🔴 system prompt - не найден

А потом классика supply‑chain атак 😎
Claude Code - это Node.js → запускается через npm → npm читает ~/.npmrc → home‑директория доступна на shared filesystem.

Через .npmrc можно задать:
node-options=--require /path/to/preload.js
--require подгружает JS до старта приложения и до любых safety‑проверок.

💣 Эксплоит = 3 команды:
1️⃣ preload‑скрипт, который пишет process.env в файл
2️⃣ запись .npmrc
3️⃣ любая задача

Результат - доступ к Perplexity proxy‑token к Anthropic API.
И самое интересное:
🔴 токен не IP‑restricted
🔴 не sandbox‑bound
🔴 не ephemeral
🔴 биллинг на Perplexity

100k+ токенов × несколько запусков → деньги не списываются.
Фактически unlimited Claude Code за их счёт 💸
Модель всё сделала правильно - сломалась именно архитектура.

Если вы строите agent‑infra, стоит подумать про:
🔐 токен должен быть привязан к sandbox
⏳ токен должен быть короткоживущим
💳 usage должен биллиться на пользователя
Иначе proxy - это просто лишний network hop, который ничего не защищает.

Большинство multi‑agent продуктов сегодня устроены примерно так же 😎