Forwarded from PurpleBear (Vadim Shelest)
Hacked Perplexity Computer and got unlimited Claude Code 🤖
Сегодня хочу рассказать про интересное исследование Perplexity Computer - отличный пример того, где ломается agent‑инфраструктура.
Исследователь изучал sandboxing multi‑agent системы и обнаружил внутри sandbox установленный Claude Code (Node.js, bypass‑permissions mode) Поэтому возник вполне логичный вопрос - где хранится Anthropic API key и как он изолирован?
6 попыток вытащить ключ провалились - модель и prompt‑safety реально отработали хорошо:
🔴 dump
🔴 троян на shared FS - агент понял подвох
🔴
🔴 system prompt - не найден
А потом классика supply‑chain атак 😎
Claude Code - это Node.js → запускается через npm → npm читает
Через .npmrc можно задать:
💣 Эксплоит = 3 команды:
1️⃣ preload‑скрипт, который пишет
2️⃣ запись
3️⃣ любая задача
Результат - доступ к Perplexity proxy‑token к Anthropic API.
И самое интересное:
🔴 токен не IP‑restricted
🔴 не sandbox‑bound
🔴 не ephemeral
🔴 биллинг на Perplexity
100k+ токенов × несколько запусков → деньги не списываются.
Фактически unlimited Claude Code за их счёт 💸
Модель всё сделала правильно - сломалась именно архитектура.
Если вы строите agent‑infra, стоит подумать про:
🔐 токен должен быть привязан к sandbox
⏳ токен должен быть короткоживущим
💳 usage должен биллиться на пользователя
Иначе proxy - это просто лишний network hop, который ничего не защищает.
Большинство multi‑agent продуктов сегодня устроены примерно так же 😎
Сегодня хочу рассказать про интересное исследование Perplexity Computer - отличный пример того, где ломается agent‑инфраструктура.
Исследователь изучал sandboxing multi‑agent системы и обнаружил внутри sandbox установленный Claude Code (Node.js, bypass‑permissions mode) Поэтому возник вполне логичный вопрос - где хранится Anthropic API key и как он изолирован?
6 попыток вытащить ключ провалились - модель и prompt‑safety реально отработали хорошо:
🔴 dump
process.env - отказ🔴 троян на shared FS - агент понял подвох
🔴
.bashrc / PATH hijack —-не сработало🔴 system prompt - не найден
А потом классика supply‑chain атак 😎
Claude Code - это Node.js → запускается через npm → npm читает
~/.npmrc → home‑директория доступна на shared filesystem.Через .npmrc можно задать:
node-options=--require /path/to/preload.js--require подгружает JS до старта приложения и до любых safety‑проверок.💣 Эксплоит = 3 команды:
1️⃣ preload‑скрипт, который пишет
process.env в файл2️⃣ запись
.npmrc3️⃣ любая задача
Результат - доступ к Perplexity proxy‑token к Anthropic API.
И самое интересное:
🔴 токен не IP‑restricted
🔴 не sandbox‑bound
🔴 не ephemeral
🔴 биллинг на Perplexity
100k+ токенов × несколько запусков → деньги не списываются.
Фактически unlimited Claude Code за их счёт 💸
Модель всё сделала правильно - сломалась именно архитектура.
Если вы строите agent‑infra, стоит подумать про:
🔐 токен должен быть привязан к sandbox
⏳ токен должен быть короткоживущим
💳 usage должен биллиться на пользователя
Иначе proxy - это просто лишний network hop, который ничего не защищает.
Большинство multi‑agent продуктов сегодня устроены примерно так же 😎
X (formerly Twitter)
Yousif Astarabadi (@YousifAstar) on X
I hacked Perplexity Computer and got unlimited Claude Code
www.opennet.ru
Уязвимости в AppArmor, позволяющие получить root-доступ в системе
Компания Qualys выявила 9 уязвимостей в системе мандатного управления доступом AppArmor, наиболее опасные из которых позволяют локальному непривилегированному пользователю получить права root в системе, выйти из изолированных контейнеров и обойти ограничения…
🔗Ссылка:
https://opennet.ru/64984/
https://opennet.ru/64984/
Forwarded from Adaptix Framework
Куда идти дальше TG бота? Наверное в Android клиент😂
https://github.com/BlackSnufkin/GeckoDroid
А если серьезно, круто развивается проект)
https://github.com/BlackSnufkin/GeckoDroid
А если серьезно, круто развивается проект)
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Крутая работа!
https://maorsabag.github.io/posts/adaptix-stealthpalace/sleeping-beauty/
Если ты не вникал в блог Crystal Palace, но планировал, то данный ресерч просто must have для понимания, как можно использовать этот проект за рамками Cobalt Strike.
#evasion #redteam #pentest #dev
https://maorsabag.github.io/posts/adaptix-stealthpalace/sleeping-beauty/
Если ты не вникал в блог Crystal Palace, но планировал, то данный ресерч просто must have для понимания, как можно использовать этот проект за рамками Cobalt Strike.
#evasion #redteam #pentest #dev
MaorSabag's Blog
Sleeping Beauty: Putting Adaptix to Bed with Crystal Palace
A tale of relocations, ROP chains, and the quest to make an Adaptix beacon sleep gracefully.
Ghaleb Al-otaibi
Stealthy WMI lateral movement - StealthyWMIExec.py
Stealthy WMI lateral movement - StealthyWMIExec.py Recently, I started reading wmiexec.py to learn how to write WMI with Impacket scripts. however, I saw how easy it was to detect WMIExec, because WMIexec uses the Win32_Process class and also uses the Create…