Une analyse inversée du code Claude a révélé deux bugs de cache, pouvant faire augmenter silencieusement le coût de l'API de 10 à 20 fois

CoinNetwork · 2026-03-31T13:26:11+00:00

Un développeur a analysé en reverse engineering la version installée de Claude Code, découvrant deux bugs de cache qui peuvent faire augmenter le coût API des utilisateurs de 10 à 20 fois, et a soumis la correction sur GitHub. Le premier bug affecte l'opération de remplacement de requête, le second impacte la restauration de session, entraînant des coûts supplémentaires, ce qui pourrait provoquer une augmentation anormale de l'utilisation par les utilisateurs.

CoinNetwork

2026-03-31 13:26:11

Création du résumé en cours

Selon Bijiéwang, d’après la surveillance de 1M AI News, un développeur a procédé au reverse engineering de la version autonome de Claude Code, un fichier binaire de 228 Mo, via Ghidra, un proxy MITM et radare2. Il a découvert deux bugs de cache distincts, capables d’augmenter les coûts API de 10 à 20 fois sans que l’utilisateur en ait connaissance. Une analyse correspondante a été soumise sur GitHub (issue #40524) ; Anthropic l’a qualifiée de bug de régression et l’a prise en charge.

Le premier bug se trouve dans un runtime Bun personnalisé utilisé par la version autonome. À chaque requête API, le runtime recherche dans le corps de la requête un identifiant de facturation et procède à un remplacement ; toutefois, la logique de remplacement correspond au premier élément correspondant présent dans le corps de la requête. Si l’historique de la conversation contient exactement cette chaîne (par exemple, lorsque l’on discute du mécanisme interne de facturation de Claude Code), le remplacement se fait sur le contenu du message plutôt que sur les instructions système, ce qui déclenche à chaque requête une reconstruction complète du cache. La méthode de contournement temporaire consiste à utiliser npx @anthropic-ai/claude-code pour exécuter ; la version du package npm ne contient pas cette logique de remplacement.

Le deuxième bug affecte tous les utilisateurs qui reprennent une session avec --resume ou --continue. Introduit à partir de v2.1.69. Lors de la reprise de session, la position d’injection des informations système diffère de celle d’une session nouvellement créée, ce qui fait que le préfixe du cache ne correspond plus entièrement : tout l’historique de la conversation est alors lu à partir du cache au lieu d’être réécrit intégralement. Les tours suivants reprennent ensuite normalement, mais l’opération de reprise elle-même a déjà généré d’importants coûts supplémentaires ; à ce jour, il n’existe aucune solution de contournement externe.

Le développeur estime qu’avec une longue conversation d’environ 500 000 tokens, le bug 1 consomme environ 0,04 USD de plus à chaque requête, et que le bug 2 consomme environ 0,15 USD de plus à chaque reprise ; ensemble, le coût d’une requête peut dépasser 0,20 USD. Auparavant, l’ingénieur d’Anthropic Lydia Hallie a confirmé que la vitesse de dépassement des limites d’usage par les utilisateurs est « bien plus rapide que prévu ». Dans la section des commentaires sur Reddit, plusieurs utilisateurs pensent que ces deux bugs de cache pourraient être l’une des causes fondamentales d’une consommation anormale de quota.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.