Bug cực ảo của Claude Code: Gõ chữ 'HERMES.md' vào commit, tài khoản bị AI cắn tiền vô tội vạ

Đang yên đang lành ngồi gõ phím, tự dưng tài khoản API cắn tiền như nước sông Đà chỉ vì một dòng... commit message. Chuyện tâm linh thật sự đ*o đùa được đâu anh em ạ!

Tóm tắt nhanh vụ "đốt tiền" ảo ma Canada này

Chuyện là Anthropic vừa tung ra Claude Code – một tool dạng CLI xịn xò con bò để hỗ trợ anh em gõ code. Mọi thứ sẽ rất mượt mà nếu như một anh dev xấu số không phát hiện ra một cái bug đi vào lòng đất: Nếu trong commit message của các ông có chứa đoạn text HERMES.md, toàn bộ request sau đó sẽ bị bế đi thẳng vào luồng "extra usage billing" (tính thêm phí sử dụng).

Đúng vậy, các ông không nghe nhầm đâu. Không phải do xài quá dung lượng, không phải do model cắn RAM, mà là do một cái chuỗi ký tự vô tri vãi lúa. Có vẻ mấy pháp sư backend của Claude đã hardcode một cái cờ (flag) routing nào đó dựa trên regex text thuần, và bùm... anh em mất tiền oan.

Giang cư mận cạn lời với pháp sư Anthropic

Bên dưới thread HN với hơn nghìn upvote, giang cư mận đang combat và tấu hài cực mạnh:

• Team ôm bụng cười: Đa số đều quỳ lạy cái trò hardcode routing billing bằng regex này. "Hermes là vị thần thương nghiệp của Hy Lạp, nên nó lấy thêm tiền của các ông là đúng cmn quy trình rồi, thắc mắc gì nữa!" – một đạo hữu châm biếm.
• Team thuyết âm mưu: Nhiều lão quái cho rằng đây chắc chắn là tàn dư của một cái hotfix lúc 3h sáng của dev nào đó chạy KPI, hoặc là một tính năng nội bộ quên xóa trước khi push lên prod.
• Team "bắt rận": Có một thanh niên (như comment được trích dẫn) thì lại chỉ chăm chăm vào cái clip đính kèm bug report: "Họ nên xài YouTube đi, clip báo lỗi đo xem được..."*. Ngay sau đó lại có ông bay vào bẻ lái: "Tôi xem được bình thường mà nhỉ?". Quả là một cái bug dị giáo từ code lan ra đến cả file đính kèm!

Góc nhìn từ Coding4Food: Bài học giữ ví tiền cho anh em

Qua cái drama sập hầm này, vãn bối có vài lời ruột gan gửi đến các đồng đạo đang dùng mấy con AI để tự động hóa công việc:

1. Set limit, set limit và set limit: Đừng bao giờ gắn thẻ tín dụng vào API mà quên set hard limit. Một ngày đẹp trời, con bot nó ngáo, tiền của các ông cũng bốc hơi theo mây khói.
2. Đừng bao giờ dùng "Magic String" cho billing: Dành cho anh em làm backend, bài học xương máu là đừng bao giờ dùng text parsing/regex từ user input để quyết định luồng tính tiền. Gặp mấy pháp sư phá game gõ bậy gõ bạ là bể ngay.

Tóm cái váy lại, công cụ thì tiện thật, nhưng cái gì liên quan đến tiền thì phải nắm đằng chuôi. Anh em dạo này push code nhớ ngó kỹ cái commit log nhé, lỡ gõ nhầm chữ Hermes thì lại khóc thét!

Nguồn: Hacker News