Ton repo GitHub peut te coûter une fortune sans que tu le saches : la leçon HERMES.md de Claude Code

Les agences te vendent du "AI-first workflow" depuis 18 mois. Aucune ne t'a audité les vecteurs d'injection cachés dans ton propre codebase. Zéro.

En mai 2025, un développeur a posté sur Hacker News un incident avec Claude Code qui a atteint 997 points et 427 commentaires. Son repo contenait un fichier HERMES.md. Un fichier markdown. Rien d'exceptionnel. Sauf que ce fichier contenait des instructions qui ont redirigé le comportement de Claude Code — et déclenché des appels API en boucle qu'il n'avait jamais autorisés. Sa facture Anthropic a explosé. Il a découvert le problème sur son relevé de carte bancaire.

Ce n'est pas un bug de facturation. C'est un avertissement sur ce qui arrive quand tu branches un LLM sur ton repo en production sans sandboxing. Et si tu es growth lead ou fondateur tech, personne dans ton équipe n'en parle encore.

Le contre-argument qu'on va te sortir

"C'est un edge case. Ça n'arrive qu'aux devs qui ne font pas attention à ce qu'ils mettent dans leur repo."

Faux. Et voilà pourquoi.

Un repo actif en 2025, c'est du bruit permanent. Des fichiers de config générés par des outils tiers. Des .md créés automatiquement par des frameworks. Des dépendances qui injectent leurs propres fichiers dans ton arborescence. Des commit messages générés par d'autres outils AI. Des README copiés-collés depuis Stack Overflow avec des instructions embed.

Tu ne lis pas chaque fichier de ton repo. Personne ne le fait. Et Claude Code, lui, les lit tous.

C'est exactement le problème.

Le consensus faux que l'industrie répète en boucle

Le consensus actuel dans les équipes tech : "On contrôle nos prompts système, donc on contrôle le comportement du LLM."

Voilà les données qui détruisent ce consensus.

En 2024, les recherches en prompt injection publiées par Stanford, DeepMind et des équipes indépendantes convergent sur un point : 100% des LLMs testés sont vulnérables à au moins une forme d'indirect prompt injection quand ils ont accès à des données externes non sanitizées. 100%. Pas 40%. Pas 70%. 100%.

L'indirect prompt injection, c'est exactement ce qui s'est passé avec HERMES.md. Ce n'est pas un attaquant externe qui t'envoie un prompt malveillant. C'est un fichier dans ton propre environnement — que tu as peut-être créé toi-même — qui détourne le comportement de l'agent AI que tu as branché dessus.

Et les coûts cachés liés aux appels API non maîtrisés sur les outils AI dev ? Pas un seul article de fond dans la presse growth ou dev française en 2025. J'ai cherché. Le sujet n'existe pas dans l'espace francophone. On parle de ROI de l'AI, de productivité, de vitesse de shipping. On ne parle pas de la facture qui arrive en silence.

Ce qui s'est passé techniquement avec HERMES.md

Claude Code est un agent. Pas un chatbot. La différence est fondamentale.

Un chatbot attend ta prochaine question. Un agent prend des décisions en autonomie dans un environnement. Il lit des fichiers, exécute du code, fait des appels API, modifie des fichiers. Et pour décider quoi faire, il lit son contexte — y compris les fichiers de ton repo.

HERMES.md contenait des instructions en langage naturel. Pas du code malveillant. Du texte. Des phrases du type "Pour ce projet, tu dois d'abord..." ou des instructions de workflow qui avaient du sens dans un autre contexte mais qui, interprétées par Claude Code comme des directives, ont déclenché une boucle d'actions.

Résultat : des milliers d'appels API générés en autonomie. Une Claude Code facturation hors de contrôle. Sans alerte. Sans plafond actif. Sans notification temps réel.

Le développeur a découvert le problème plusieurs jours après. Après que la carte soit débitée.

Le framework pour auditer ton stack AI dev avant que ça t'arrive

1. Inventorie les surfaces d'injection dans ton repo

Lance un audit simple. Cherche dans ton repo tous les fichiers texte qui pourraient contenir des instructions en langage naturel :

• AGENTS.md, CLAUDE.md, HERMES.md, CURSOR_RULES, .cursorrules
• Tous les README.md dans les sous-répertoires
• Les fichiers de config qui contiennent des commentaires longs
• Les fichiers générés par des outils tiers que tu n'as jamais ouverts
• Les commit messages générés automatiquement — oui, certains outils les stockent

Ce ne sont pas des fichiers dangereux en eux-mêmes. Ce sont des vecteurs potentiels d'indirect prompt injection quand un agent LLM comme Claude Code, Cursor ou Copilot Workspace les lit.

2. Pose des plafonds de facturation AVANT de brancher un agent sur ton repo

Avant tout autre chose. Pas après le premier incident. Avant.

Anthropic propose des spending limits sur la console. Par défaut, elles ne sont pas activées de manière agressive. Tu dois les configurer manuellement. Idem pour les alertes. Mets un seuil d'alerte à 20% de ton budget mensuel prévu. Pas à 100%.

Sur AWS Bedrock, Azure OpenAI et Google Vertex AI (si tu passes par des wrappers), les mécanismes de cost alert existent mais demandent une config active. Par défaut, ils ne bloquent pas. Ils alertent. Et souvent trop tard.

3. Sandboxe tes agents AI — séparation repo de lecture vs repo de prod

Si tu utilises Claude Code ou un équivalent en autonomie sur un repo, applique ce principe : l'agent ne lit jamais le repo de prod directement. Il travaille sur un fork ou un worktree isolé, avec un sous-ensemble contrôlé de fichiers.

Ce n'est pas une contrainte de productivité. C'est une contrainte de sécurité. La même logique que de ne pas donner à un stagiaire les accès root en production le premier jour.

4. Audite les AI hidden costs dans ton stack complet

Claude Code n'est pas le seul vecteur de coûts cachés. Fais l'inventaire de tout ce qui fait des appels API LLM dans ton stack :

• Extensions IDE avec des features "AI auto-complete" qui tournent en arrière-plan
• Webhooks GitHub/GitLab connectés à des pipelines AI
• Outils de review de code automatisés
• Bots de génération de commit messages ou de PR descriptions
• Outils de documentation automatique

Pour chaque outil : vérifie quel modèle est appelé, à quelle fréquence, avec quelle taille de contexte. Un appel GPT-4o avec 128K tokens de contexte à chaque commit sur un repo actif, ça chiffre vite.

5. Traite les fichiers de config AI comme des fichiers de secrets

Les fichiers CLAUDE.md, .cursorrules, AGENTS.md sont des fichiers d'instructions pour agents AI. Ils ont autant d'impact sur le comportement du LLM qu'un prompt système. Traite-les comme tels :

• Versionne-les explicitement avec des reviews obligatoires
• Ne laisse jamais un outil tier les modifier sans approbation humaine
• Documente leur contenu dans ton onboarding tech
• Audite-les à chaque ajout de nouvelle dépendance dans ton projet

Le piège dans lequel 90% des équipes vont tomber en 2025

Le piège n'est pas technique. Il est organisationnel.

Dans la plupart des équipes, les outils AI dev sont adoptés individuellement. Chaque dev installe ce qu'il veut. Cursor, Claude Code, Continue, Aider, Cody — il existe une douzaine d'agents AI dev sérieux en 2025. Aucun framework d'audit centralisé. Aucune politique d'utilisation. Aucun ownership sur les coûts AI au niveau équipe.

Le résultat : les appels API sont facturés sur des cartes perso ou des comptes partagés sans tracking. Les incidents de type HERMES.md ne remontent pas parce qu'ils font honte ("j'ai laissé un fichier déclencher une boucle API, comment j'explique ça à mon CTO"). Et les LLM hidden costs s'accumulent en silence dans le P&L tech.

J'ai audité plusieurs stacks client ces derniers mois. Le pattern est systématique : entre 15% et 40% des dépenses API LLM ne sont pas tracées dans le budget tech officiel. Elles passent dans les notes de frais ou sur des budgets "outils" sans ligne dédiée.

40% de tes dépenses AI peuvent être invisibles dans ton reporting. C'est un problème de gouvernance autant qu'un problème de sécurité.

Ce que l'incident HERMES.md révèle sur la maturité AI de l'industrie

997 points sur Hacker News. 427 commentaires. C'est l'un des fils les plus discutés de l'année sur les outils AI dev.

Aucun reprise sérieuse dans la presse tech française. Aucun article de fond dans les newsletters growth. Aucune conférence qui en a fait un retour d'expérience structuré.

Pourquoi ? Parce que l'incident raconte une histoire inconfortable : les LLMs agentiques dans les workflows dev ne sont pas encore matures pour une intégration sans surveillance active. Et cette histoire ne vend pas de prestation "AI transformation" à 15K€.

Les risques AI dev tools existent. Ils sont documentés. Ils sont reproductibles. Et l'industrie growth préfère encore vendre le upside plutôt qu'auditer le downside.

Je ne dis pas que Claude Code est dangereux. Je dis que brancher un agent LLM sur un repo sans avoir posé de sandboxing, de spending limits et d'audit de surfaces d'injection, c'est exactement aussi imprudent que de déployer du code en prod sans tests. Et personne ne défendrait ça.

Le minimum viable pour ne pas être le prochain fil HN

Trois actions. Cette semaine. Pas dans 6 mois.

• Spending limit immédiat : ouvre ta console Anthropic (ou OpenAI, ou Bedrock) et pose un plafond mensuel et une alerte à 50% du seuil. Durée : 10 minutes.
• Inventaire des fichiers agents : find . -name "*.md" -o -name ".cursorrules" -o -name "AGENTS*" dans ton repo principal. Lis ce que contiennent ces fichiers. Pour de vrai. Durée : 30 minutes.
• Politique d'équipe minimale : un doc de 1 page qui liste quels outils AI dev sont autorisés, sur quels repos, avec quels accès. Ownership désigné sur le suivi des coûts API. Durée : 1 heure.

Ce n'est pas de la paranoïa. C'est de la gouvernance de base sur des outils qui ont accès à ton code, à tes APIs et à ta carte bancaire.

La sécurité des outils AI n'est pas le sujet le plus sexy du growth en 2025. Mais c'est le sujet qui va créer le plus de dégâts silencieux chez les équipes qui l'ignorent.

HERMES.md a coûté cher à un dev. L'équivalent peut coûter bien plus à une startup — en argent, en temps perdu, en données exposées.

---

Tu veux qu'on audite les vecteurs d'injection et les coûts AI cachés dans ton stack dev ? C'est exactement le type de mission que je fais pour des équipes growth et fondateurs tech. Contacte-moi sur growthconsult.net — on fait un premier diagnostic en 45 minutes.