#人工智能 有网友疑似找到 Perplexity 使用的 Claude Code API 密钥，可以提取出来放在其他软件里使用，只是万万没想到...Perplexity 回应称网友找到的令牌只属于网友自己，所以兄弟请查看你的账单！但 Perplexity 的计费是异步的，调用后可能十几小时都看不到计费信息，这让网友以为可以长期白嫖。查看全文：https://ourl.co/112160

Perplexity Computer 是 AI 搜索引擎开发商 Perplexity 推出的云电脑系统，该系统内置 Claude Code 等工具帮助用户实现自己的想法，当然既然要调用 AI 模型那就必然牵涉到 API 令牌。

有网友想着既然如果能拿到 API 令牌岂不是证明这款产品存在安全缺陷？于是针对 Perplexity Computer 沙箱环境进行测试，还真在.npmrc 中找到调用的 API 地址和令牌。

这个 API 地址和令牌不仅可以在 Perplexity Computer 中使用，用户甚至可以将其配置到其他软件中实现，网友单独配置后成功调用模型，并且在账单中也没有出现计费信息。

显然这属于严重的安全问题，因为 API 地址和令牌暴露后任何人都可以将其配置到非 Perplexity Computer 系统中使用，这会消耗 Perplexity 购买的 AI 模型调用额度。

然后...Perplexity 立即撤销网友发现的 API 令牌：

网友发布的这篇《我破解了 Perplexity Computer，获得无限额度的 Claude Code》迅速在 X/Twitter 上传播，于是这也引起 Perplexity 的关注，随后 Perplexity 火速撤销了网友发布的 API 令牌。

撤销令牌的原因并不是因为这可以拿来白嫖 Perplexity 购买的 AI 模型额度，而是网友暴露的令牌其实属于他自己，因为 Perplexity 会给每位用户的每个会话都生成不同的计费令牌。

异步计费引起的误解：

根据 Perplexity 的说明，Computer 会给每位用户生成不同的 API 令牌，令牌归属于会话，会话结束后令牌就会被销毁，而所有令牌的调用其实都会正常计费。

那网友为啥没在自己的账单中看到计费信息呢？原因是 Perplexity 采用的异步计费，也就是费用信息要延迟一段时间才会显示在账单里 (延迟时间可能超过 18 小时)。

所以撤销令牌纯粹是帮助用户，防止令牌泄露后产生海量调用，到时候都得这名用户来支付账单，当然即便 Perplexity 不主动撤销令牌，这个令牌也会在会话结束后被销毁。

Perplexity 还解释为什么用户能在环境变量里看到令牌，Perplexity 认为每个短期会话令牌都是属于用户的，用户可以随意使用 (包括在 Computer 之外使用)，所以没必要对用户隐藏。

但这种做法也确实不安全：

在收到 Perplexity 回复后网友也进行了回应，即令牌放在沙箱里但可以通过提示词注入进行提取，如果黑客拿到令牌那就会给用户产生天价账单，所以 Perplexity 这种做法是不合理的，应当进行修正。