Faille Perplexity Computer : un accès gratuit à Claude Opus 4.6 est-il vraiment possible ?

Faille Perplexity Computer : un accès gratuit à Claude Opus 4.6 est-il vraiment possible ?

Le chercheur Yousif Astarabadi a réussi à exploiter une faille dans Perplexity Computer pour utiliser Claude Opus 4.6 sans frais apparents, en modifiant le fichier .npmrc pour exécuter un script au démarrage du programme.

Il conclut à tort que l'accès est gratuit, car Perplexity a expliqué que la facturation est asynchrone, et a mis à disposition les détails des événements de facturation pour ses tests. L'inquiétude porte sur le fait que le token d'accès exfiltré pourrait être exploité par des scripts malveillants, une faille de sécurité que Perplexity n'a pas encore commentée.

Sur X, Astarabadi affirme avoir obtenu un accès illimité à Claude Opus 4.6 en exploitant l’infrastructure de Perplexity Computer. Bien que la démonstration technique soit réelle, les conclusions sur la facturation sont à nuancer.

Le 12 mars 2026, Astarabadi, gérant d’une startup à San Francisco, publie un article sur X qui attire rapidement l'attention des communautés intéressées par les dernières nouveautés en IA. Il prétend avoir obtenu un accès illimité à Claude Opus 4.6, le modèle le plus élaboré d’Anthropic.

La clé de cet exploit réside dans Perplexity Computer, un produit lancé la veille, qui permet à un agent IA d’exécuter du code dans un environnement isolé, appelé sandbox.

Astarabadi observe que Claude Code a besoin d’une clé d’accès à l’API d’Anthropic, et cette clé doit se trouver quelque part dans l’espace d’exécution. Après plusieurs tentatives infructueuses, il réussit à exfiltrer le token et à l’utiliser sans voir ses crédits diminuer.

Détails de l'exploit

• Astarabadi décrit six tentatives infructueuses avant de réussir.
• Il modifie le fichier .npmrc pour exécuter un script au démarrage de l'application.
• Ce script lui permet de lire les variables d’environnement et d’exfiltrer le token.

La facturation est asynchrone, ce qui signifie que même s'il ne voit pas ses crédits diminuer, cela ne signifie pas qu'il n'est pas facturé. Perplexity a expliqué que le token récupéré n’est pas une clé API partagée, mais un token généré spécifiquement pour chaque session utilisateur.

Conclusion

La conclusion selon laquelle l'accès serait « gratuit et illimité » est donc erronée. Cependant, l'exfiltration a bien fonctionné, et cela soulève des préoccupations, car le token peut être utilisé en dehors du sandbox. Astarabadi avertit que cela pourrait rendre les utilisateurs vulnérables à des attaques par injection, mais Perplexity n'a pas encore répondu à ces préoccupations.