Le 12 mars 2026, Yousif Astarabadi, gérant d’une startup à San Francisco, a publié un article sur X qui a rapidement circulé dans les communautés friandes des dernières nouveautés IA. Selon nos confrères de Numerama, le titre de l'article était accrocheur : il aurait obtenu un accès illimité à Claude Opus 4.6, le modèle le plus élaboré d’Anthropic, en exploitant une faille dans Perplexity Computer.
La clé de cet exploit ? Perplexity Computer, un produit lancé la veille, qui permet à un agent IA d’exécuter du code dans un environnement isolé, que l’on appelle un sandbox. Le chercheur a réussi à exfiltrer un token d’accès à l’API d’Anthropic et à l’utiliser pour appeler Claude Opus 4.6 sans voir ses crédits diminuer.
Ce qu'il faut retenir
- Yousif Astarabadi a publié un article sur X le 12 mars 2026, affirmant avoir obtenu un accès illimité à Claude Opus 4.6 en exploitant une faille dans Perplexity Computer.
- La faille a été exploitée en modifiant le fichier .npmrc pour exécuter un script au démarrage de Claude Code.
- Le token d’accès exfiltré a été utilisé pour appeler Claude Opus 4.6 sans voir les crédits diminuer.
- Perplexity a expliqué que la facturation est asynchrone et que le token récupéré n’est pas une clé API partagée, mais un token généré spécifiquement pour chaque session utilisateur.
La découverte de la faille
Yousif Astarabadi a expliqué que la première observation qui l’a poussé à mener l’enquête est celle qui concerne la clé d’accès à l’API d’Anthropic. Pour fonctionner à l’intérieur de ce nouvel environnement, Claude Code a besoin d’une clé d’accès à l’API d’Anthropic et cette clé doit bien se trouver quelque part dans l’espace d’exécution.
Le chercheur a donc tenté de récupérer cette clé en utilisant différentes méthodes, mais il a conclu que la clé était bien présente dans l’environnement, mais qu’elle était protégée par des mécanismes de sécurité.
L’exploitation de la faille
Yousif Astarabadi a expliqué que la faille a été exploitée en modifiant le fichier .npmrc pour exécuter un script au démarrage de Claude Code. Le script a permis de lire les variables d’environnement du processus et d’en copier le contenu dans un fichier accessible sur le workspace partagé.
Le chercheur a ainsi récupéré un token qui lui a permis d’appeler Claude Opus 4.6 depuis son propre ordinateur et a généré délibérément un volume massif de tokens pour tester la facturation. Ses crédits Perplexity ne bougent pas, il en conclut que la facture part sur le compte maître de Perplexity.
La réaction de Perplexity
Perplexity a répondu publiquement en expliquant que le token récupéré n’est pas une clé API partagée, mais un token généré spécifiquement pour chaque session utilisateur. Aussi, si Astarabadi n’a pas vu ses crédits diminuer en temps réel, c’est simplement parce que la facturation est asynchrone.
Perplexity a également partagé le détail des 197 événements de facturation générés par les tests de Astarabadi, ce que le chercheur a confirmé. Denis Yarats, co-fondateur de Perplexity, a déclaré sur Twitter : « Ce n’est pas une clé API partagée, mais un token généré spécifiquement pour chaque session utilisateur. La facturation est asynchrone ».
En conclusion, la faille de sécurité découverte par Yousif Astarabadi dans Perplexity Computer soulève des inquiétudes quant à la sécurité des utilisateurs. Il est important que les utilisateurs restent informés et vigilants pour protéger leurs données et leurs comptes.
