👀 Исследователь взломал Perplexity Computer и получил доступ к Claude Code
Исследователь безопасности Yousif Astarabadi рассказал, как смог получить неограниченный доступ к Claude Code через уязвимость в Perplexity Computer. По его словам, он не пытался взломать систему — изначально он просто изучал, как в агентных инфраструктурах реализована изоляция sandbox-среды.
Во время эксперимента он заметил, что внутри sandbox установлен Claude Code, который работает через API-ключ Anthropic. Этот ключ хранится в окружении одного из под-агентов системы. После серии попыток исследователь нашёл способ его извлечь.
Первые шесть методов не сработали:
🟡 попытка заставить агента вывести переменные окружения
🟡 запуск троянского скрипта через общий файловый доступ
🟡 модификация .bashrc и .profile
🟡 подмена бинарников через PATH
🟡 анализ дерева процессов
🟡 попытка изменить system prompt Claude Code
Все эти атаки были остановлены самой моделью, которая распознавала подозрительные действия и отказывалась их выполнять.
В итоге уязвимость оказалась на уровне инфраструктуры. Claude Code запускается как Node.js-приложение через npm, а npm автоматически читает файл ~/.npmrc. Через него можно задать параметр NODE_OPTIONS, который позволяет подгрузить JavaScript-модуль до запуска приложения.
Эксплойт оказался очень простым:
1. создать небольшой скрипт, который сохраняет process.env в файл
2. добавить в .npmrc параметр —require для автозагрузки скрипта
3. попросить Perplexity Computer выполнить любую задачу
Когда под-агент запускал Claude Code, npm сначала загружал вредоносный модуль, который получал доступ к переменным окружения и API-ключам.
В результате исследователь получил gateway-токен Perplexity, через который можно было обращаться к Anthropic API. Используя этот ключ на своём компьютере, он смог запускать Opus 4.6 напрямую, причём расходы не списывались с его аккаунта — они шли через общий биллинг компании.
По словам исследователя, проблема связана не столько с моделями, сколько с архитектурой агентных систем. Он отмечает, что многие современные multi-agent платформы используют похожую схему: общие файловые системы, долгоживущие токены и общий биллинг.
В качестве решения он предлагает три ключевых принципа безопасности:
🟡 привязывать токены к конкретной sandbox-среде
🟡 делать ключи временными (ephemeral)
🟡 связывать использование API с биллингом конкретного пользователя
Без этих механизмов даже прокси-архитектура не защищает систему — украденный токен может работать вне sandbox и без ограничений.
Приобрести подписку на любые сервисы
⏩ @forgetshop_bot
Добавить комментарий