Claude Codeを逆向解析して、2つのキャッシュバグを発見し、APIコストを静かに10〜20倍に引き上げる可能性がある

Coin界ニュースによると、1M AI Newsのモニタリングでは、ある開発者がGhidra、MITMプロキシ、radare2を用いてClaude Codeのスタンドアロン版の228MBバイナリを逆解析し、ユーザーが知らないうちにAPIコストを10〜20倍に引き上げる2つの独立したキャッシュのBugを発見した。関連分析はGitHubに提出されている（issue #40524）。Anthropicはこれを回帰（regression）Bugとして認識し、対応を割り当てた。最初のBugは、スタンドアロン版で使用されているカスタムBunランタイムに存在する。APIリクエストのたびに、ランタイムはリクエスト本文内で課金識別子を探して置換するが、置換ロジックがヒットするのはリクエスト本文中の最初のマッチ項目である。会話履歴にちょうどその文字列が含まれている場合（例：Claude Codeの内部課金メカニズムについて議論した場合）、置換はメッセージ本文ではなくシステムプロンプトに当たるのではなく、メッセージ内容にヒットしてしまい、毎回のリクエストでキャッシュの全量再構築がトリガーされる。暫定的な回避策は、npx @anthropic-ai/claude-codeで実行することだ。npmパッケージのバージョンにはこの置換ロジックが含まれていない。2つ目のBugは、–resumeまたは–continueで会話を復元するすべてのユーザーに影響する。v2.1.69以降に導入された。会話を復元する際の、システム付加情報の注入位置は、新規会話とは異なるため、キャッシュプレフィックスが完全に一致しなくなり、会話履歴全体がキャッシュから読み出されるのではなく全量書き換えになる。以降のラウンドで復元は正常に動作するが、復元操作自体がすでに大量の追加コストを生んでおり、現在、外部の回避策はない。開発者の推定によると、約50万tokenの長い対話では、Bug 1は毎回のリクエストで追加で約0.04米ドル消費し、Bug 2は毎回の復元で追加で0.15米ドル消費する。両者を合わせた単一リクエストあたりのコストは0.20米ドルを超える可能性がある。これまでAnthropicのエンジニアLydia Hallieは、ユーザーの到達が用量制限に達する速度が「予想よりはるかに速い」と確認済みだ。Redditのコメント欄では複数のユーザーが、この2つのキャッシュBugが、用量が異常に消費される根本原因の1つである可能性があると考えている。