AI 요약
Anthropic의 Claude Code v2.1.119 버전에서 Git 커밋 메시지의 내용에 따라 과금 방식이 잘못 라우팅되는 중대한 결함이 보고되었습니다. 2026년 4월 25일 보고된 이 이슈에 따르면, 최근 커밋 내역에 대소문자를 정확히 일치시킨 'HERMES.md'라는 특정 문자열이 존재할 경우 시스템은 이를 사용자의 기본 'Max 20x' 플랜(월 $200) 쿼터가 아닌 유료 추가 사용(extra usage)으로 인식합니다. 이 문제는 macOS 환경에서 Claude-Opus 모델을 사용할 때 발생하며, 파일의 실제 존재 여부가 아닌 오직 커밋 메시지 내의 텍스트에 의해 트리거됩니다. 피해 사용자는 주간 용량이 13%만 사용된 상태에서 200.98달러의 추가 비용을 지불해야 했으며, 원인을 알 수 없는 '추가 사용량 소진' 오류로 프로젝트 작업이 중단되었습니다. 이는 LLM 시스템 프롬프트에 포함된 특정 키워드가 서버 측 결제 로직에 간섭을 일으킨 이례적인 사례로 분석됩니다.
핵심 인사이트
- 보고 일자 및 버전: 2026년 4월 25일, Claude Code v2.1.119 및 macOS(Apple Silicon) 환경에서 발생하는 오과금 버그가 sasha-id에 의해 제보됨.
- 특정 트리거 문자열: Git 커밋 메시지에 'HERMES.md'가 포함될 경우, API 요청이 월 $200 상당의 'Max 20x' 플랜 쿼터를 우회하여 유료 크레딧으로 청구됨.
- 금전적 피해: 버그로 인해 사용자의 플랜 할당량이 86% 이상 남아있었음에도 불구하고 $200.98의 추가 사용료가 무단 소진됨.
주요 디테일
- 영향 모델:
claude-opus-4-6[1m]및claude-opus-4-7모델 사용 시 동일한 과금 오류 현상이 재현됨. - 선택적 발생 조건: 대소문자를 구분하는 'HERMES.md'에는 반응하지만, 소문자 'hermes.md', 확장자가 없는 'HERMES', 혹은 'HERMES.txt'나 'README.md' 같은 다른 파일명에는 정상 작동함.
- 시스템 프롬프트의 영향: Claude Code가 최근 커밋 메시지를 시스템 프롬프트에 포함하여 전송하는데, 서버 측에서 이 특정 문자열을 감지하여 결제 경로를 변경하는 로직 결함이 있는 것으로 추정됨.
- 진단 어려움: 사용자에게는 단순하게 '추가 사용량 부족(out of extra usage)'이라는 오류 메시지만 출력되어, 콘텐츠 기반의 과금 라우팅 오류임을 인지하기 매우 어려움.
- 검증 완료: 동일한 레포지토리 내에서도 커밋 이력이 없는 새로운 브랜치에서는 정상적으로 플랜 쿼터가 소진됨을 확인하여 커밋 메시지가 원인임을 입증함.
향후 전망
- Anthropic은 시스템 프롬프트 내부의 텍스트가 결제 및 계정 관리 로직에 간섭하지 않도록 서버 측 필터링 및 라우팅 알고리즘에 대한 즉각적인 수정 작업에 착수할 것으로 보임.
- LLM 서비스 아키텍처에서 사용자 데이터(컨텍스트)와 비즈니스 로직(결제, 권한)이 분리되지 않을 때 발생할 수 있는 새로운 형태의 '프롬프트 주입형 과금 오류'에 대한 업계 전반의 주의가 요구됨.
출처:hackernews