Claude Code aurait été révélé pour contenir deux bugs de cache, pouvant faire augmenter silencieusement le coût de l'API de 10 à 20 fois

Nouvelles ME : le 31 mars (UTC+8), un développeur Reddit a révélé qu’il avait, via Ghidra, un proxy MITM et radare2, procédé à l’ingénierie inverse du fichier binaire de 228 Mo de la version installée indépendante de Claude Code, et qu’il avait découvert deux bogues de cache distincts pouvant augmenter les coûts d’API de 10 à 20 fois sans que l’utilisateur en ait connaissance. Une analyse connexe a été soumise sur GitHub (issue #40524) ; Anthropic l’a marquée comme un bogue de régression et a confié son traitement. Le premier bogue se trouve dans le runtime Bun personnalisé utilisé par la version installée indépendante : une erreur dans la logique de remplacement de l’identifiant de facturation entraîne, à chaque requête, une reconstruction complète du cache. Le deuxième bogue affecte les utilisateurs qui reprennent une session via --resume ou --continue ; introduit à partir de v2.1.69, une absence de correspondance du préfixe de cache fait que tout l’historique de conversation est lu depuis le cache au lieu d’être réécrit en totalité. Auparavant, des ingénieurs d’Anthropic avaient confirmé que la vitesse à laquelle les utilisateurs atteignaient la limite de consommation était « bien plus rapide que prévu ». (Source : PANews)