Le 12 mars 2026, Yousif Astarabadi, gérant d’une startup à San Francisco, publie un article sur X qui circule rapidement dans les communautés friandes des dernières nouveautés IA. Le titre est accrocheur : il aurait obtenu un accès illimité à Claude Opus 4.6, le modèle le plus élaboré d’Anthropic.
La clé de cet exploit ? Perplexity Computer, un produit lancé la veille, qui permet à un agent IA d’exécuter du code dans un environnement isolé, que l’on appelle un sandbox.
La première observation de M. Astarabadi est celle qui va le pousser à mener l’enquête. Pour fonctionner à l’intérieur de ce nouvel environnement, Claude Code a besoin d’une clé d’accès à l’API d’Anthropic et cette clé doit bien se trouver quelque part dans l’espace d’exécution.
« Un prompt. Trois commandes » et zéro dollar dépensé plus tard, le chercheur crie victoire. Après avoir exfiltré le token, Astarabadi l’a configuré sur son propre ordinateur et a utilisé Claude Opus 4.6 sans voir ses crédits bouger d’un centime. Selon lui, la facture aurait été envoyée directement à Perplexity. Pas si vite.
Six tentatives infructueuses, puis le jackpot ?
Dans son thread détaillé, Yousif Astarabadi explique ne pas être parvenu à mettre la main sur la clé du premier coup et décrit six tentatives infructueuses. Parmi elles, déposer des scripts piégés et demander au sous-agent de révéler ses variables d’environnement. Mais à chaque fois, l’intention est identifiée et la requête refusée. Le vecteur qui a finalement fonctionné réside dans la mécanique de démarrage de l’application.
Claude Code est lancé via npm, un gestionnaire de paquets standard de l’écosystème JavaScript. À chaque démarrage, npm lit automatiquement un fichier de configuration appelé .npmrc, situé dans le répertoire personnel de l’utilisateur, que Yousif Astarabadi peut donc librement modifier.
La faille est identifiée : .npmrc dispose d’une option qui permet de passer des instructions à l’interpréteur au moment du lancement, dont l’une force le chargement d’un module JavaScript avant même que l’application principale ne commence à s’exécuter.
En y glissant une ligne qui active cette option et pointe vers un script de son choix, Astarabadi s’assure que ce script sera exécuté à chaque démarrage de Claude Code, avant les vérifications de sécurité.
Une facturation asynchrone
Dans ce script, le chercheur se contente de lire les variables d’environnement du processus et d’en copier le contenu dans un fichier accessible sur le workspace partagé. La séquence complète tient en trois commandes. L’attaque ne consiste pas à convaincre l’IA de faire quelque chose de problématique, elle contourne simplement les mécanismes de sécurité.
Astarabadi récupère ainsi un token qui lui permet d’appeler Claude Opus depuis son propre ordinateur et génère délibérément un volume massif de tokens pour tester la facturation. Ses crédits Perplexity ne bougent pas, il en conclut que la facture part sur le compte maître de Perplexity.
Seulement voilà. Perplexity a répondu publiquement en expliquant que le token récupéré n’est pas une clé API partagée, mais un token généré spécifiquement pour chaque session utilisateur. Aussi, si Astarabadi n’a pas vu ses crédits diminuer en temps réel, c’est simplement parce que la facturation est asynchrone. Perplexity lui a d’ailleurs partagé le détail des 197 événements de facturation générés par ses tests, ce que le chercheur a confirmé.
Bonne exfiltration, mauvaise conclusion
La conclusion la plus spectaculaire du thread, celle de l’accès « gratuit et illimité », ne tient donc pas. Ce qui reste vrai, en revanche, c’est que l’exfiltration a fonctionné.
Le token a pu être extrait du sandbox et utilisé depuis une machine extérieure, et c’est précisément ce vecteur qu’Astarabadi juge préoccupant : « Si le jeton est lié à la facturation de l’utilisateur et fonctionne en dehors du sandbox, il devient une cible facile pour les injections. Une page web malveillante visitée par l’agent pourrait y insérer la même charge utile .npmrc, exfiltrer le jeton de l’utilisateur et le facturer pour une utilisation par un tiers. »
Un argument qui, pour le moment, reste sans réponse de la part de Perplexity.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !