仅仅写下「HERMES.md」就会损失200美元！？Claude Code隐藏的恐怖「特定字符串计费漏洞」

📰 新闻概要

• 特定字符串引发的误计费: 有报告指出，如果git的提交历史中包含字符串「HERMES.md」（区分大小写），Claude Code的API请求将被错误地处理为「额外使用（extra usage）」而非「固定计划（Max plan）」。
• 高额损失: 报告者签约了Max 20x计划（月费200美元），尽管计划的容量还剩下86%以上，却在不知情的情况下消耗了200.98美元的额外信用。
• 原因定位: 触发问题的并非项目文件本身，而是git提交信息中的字符串，这可能与服务器端的路由逻辑问题有关。

💡 重要要点

• 重现条件的具体性: 字符串「HERMES.md」是禁忌的，但小写的「hermes.md」或没有扩展名的「HERMES」，以及别名「AGENTS.md」等则正常工作。
• 诊断难度: 错误信息仅显示「额外使用额度不足」，因此很难判断是内容基础的路由问题。
• 系统提示的陷阱: Claude Code包含最近的提交历史作为系统提示的设计，引发了这一意外的计费路径。

🦈 鲨鱼的视角（策展者观点）

简直是不可思议的漏洞！仅仅因为8个字符的字符串出现在提交历史中，就会无视固定额度，直接冲击钱包，真是「代码海洋中的大白鲨」般的恐怖！

特别值得注意的是，报告者凭借「二分搜索」找到了这个特定字符串的执念。他克隆了仓库，分支切割，逐一验证提交信息，最终确定「HERMES.md」是罪魁祸首，这个过程简直是调试的典范。不过，如果服务器端真有根据「特定项目名或文件名」来改变计费路径的逻辑，那这就不仅仅是一个漏洞，而是一个涉及「不透明路由」的大问题！开发者们应该立即检查自己的提交信息，确认是否埋藏着「地雷」！

🚀 接下来会怎样？

Anthropic迫切需要修复路由逻辑。这一事件暴露了「根据提示内容自动改变计费方式」的风险，未来用户对计费透明性的要求会加强。此外，关于是否会有退款的关注也在增加。

💬 鲨鱼的随想

如果「HERMES.md」不行，那我的提交就用「SHARK.md」来填满吧！大家也要注意误计费，保持像海洋一样宽广的心态，努力调试吧！

📚 术语解说

• Claude Code: 由Anthropic提供的CLI工具，可以直接通过终端与AI对话，生成和修改代码。

• Max 20x计划: Claude的高端订阅计划之一，提供大量推理请求。

• 系统提示: AI生成回答时，作为前提条件或上下文在后台输入的指令。在Claude Code中，git历史等会被自动包含。

• 信息来源: HERMES.md: Anthropic bug causes $200 extra charge, refuses refund