🐛O bug de US$200 que a Anthropic demorou pra resolver
Se você usa o Claude Code e tem um arquivo chamado HERMES.md no seu repositório, boa sorte. Um desenvolvedor descobriu que essa string - em maiúsculas, com a extensão .md - fazia o sistema da Anthropic redirecionar silenciosamente suas requisições do plano Max (US$200/mês) para cobrança via API. O cara acordou com US$200 a mais na fatura sem ter mudado nada. --- O painel dele mostrava 13% de uso semanal. Zero na sessão atual. Mas a cobrança já tinha passado. Ele testou de tudo: logout, reinstalação, modelos diferentes. Nada funcionava. Aí fez uma busca binária nos repositórios até encontrar o gatilho: a string HERMES.md num commit recente. --- A Anthropic reconheceu o bug três vezes, chamou de 'problema de roteamento de autenticação' e... recusou o reembolso. Depois da repercussão, voltou atrás: vai emitir reembolsos e créditos gratuitos para todos os afetados. Mas ficou o recado: revise seu histórico de commits antes que o Claude drene sua conta por acidente.
It is genuinely insane that Anthropic will bill you differently if you mention certain words in your prompt or have certain files in your codebase
— @theo View on X
Um desenvolvedor identificou que a presença de um arquivo específico no repositório — **HERMES.md** — fazia o Claude Code, ferramenta de coding da Anthropic, migrar silenciosamente o usuário do plano Max (US$200/mês) para cobrança via API. O resultado: uma fatura extra de US$200 sem alteração explícita de configuração por parte do usuário.
Como o bug funcionava
O Claude Code oferece duas modalidades de pagamento: o plano Max, com taxa fixa mensal e limite de requisições, e a API, com custo variável por token consumido. O sistema deveria manter o usuário na modalidade contratada independentemente do conteúdo do prompt ou da estrutura de arquivos analisada.
O bug, classificado pela Anthropic como "problema de roteamento de autenticação", ocorria quando a string **HERMES.md** (em maiúsculas, com extensão .md) aparecia no codebase. O sistema interpretava essa presença como um gatilho para redirecionar as requisições para o endpoint de API, aplicando tarifação por uso real em vez da mensalidade fixa.
A descoberta técnica
O desenvolvedor, identificado como @theo, notou inconsistências entre o painel de controle — que indicava apenas 13% de uso semanal — e a cobrança processada. Após tentativas de logout, reinstalação e troca de modelos sem sucesso, realizou uma busca binária no histórico de commits para isolar a variável.
O arquivo HERMES.md, comum em projetos que documentam padrões de comunicação entre sistemas ou agentes (o termo remete ao deus mensageiro da mitologia grega, frequentemente usado em contextos de LLMs e arquiteturas multi-agente), era o único elemento novo no repositório. Removê-lo restaurava o comportamento correto do billing.
Implicações para desenvolvedores brasileiros
O caso expõe vulnerabilidades críticas em ferramentas de IA integradas ao workflow de desenvolvimento:
- **Acoplamento perigoso**: A lógica de cobrança estava diretamente ligada ao conteúdo do repositório, não às preferências explícitas do usuário
- **Falta de transparência**: O redirecionamento ocorria sem notificação visual ou confirmação no dashboard
- **Custos ocultos