Les agences te vendent du "AI-first workflow" depuis 18 mois. Aucune ne t'a audité les vecteurs d'injection cachés dans ton propre codebase. Zéro. Et l'incident HERMES.md de Claude Code, c'est un avertissement que personne dans le growth français n'a relayé sérieusement.
En mai 2025, un dev a posté sur Hacker News un incident avec Claude Code qui a atteint 997 points et 427 commentaires. Son repo contenait un fichier HERMES.md. Un fichier markdown. Rien d'exceptionnel. Sauf que ce fichier contenait des instructions qui ont redirigé le comportement de Claude Code, et déclenché des appels API en boucle qu'il n'avait jamais autorisés. Sa facture Anthropic a explosé. Il a découvert le problème sur son relevé de carte bancaire.
Ce n'est pas un bug de facturation. C'est un avertissement sur ce qui arrive quand tu branches un LLM sur ton repo en production sans sandboxing. Et si tu es growth lead ou fondateur tech, personne dans ton équipe n'en parle encore.
"C'est un edge case. Ça n'arrive qu'aux devs qui ne font pas attention à ce qu'ils mettent dans leur repo." Faux. Et voilà pourquoi.
Un repo actif en 2026, c'est du bruit permanent : fichiers de config générés par des outils tiers, .md créés automatiquement par des frameworks, dépendances qui injectent leurs propres fichiers, commit messages générés par d'autres outils AI, README copiés-collés depuis Stack Overflow avec des instructions embed.
Tu ne lis pas chaque fichier de ton repo. Personne ne le fait. Claude Code, lui, les lit tous. C'est exactement le problème.
Le consensus actuel dans les équipes tech : "On contrôle nos prompts système, donc on contrôle le comportement du LLM." Les données détruisent ce consensus.
En 2024, les recherches en prompt injection publiées par Stanford, DeepMind et des équipes indépendantes convergent sur un point : 100% des LLMs testés sont vulnérables à au moins une forme d'indirect prompt injection quand ils ont accès à des données externes non sanitizées. 100%. Pas 40%. Pas 70%. 100%.
L'indirect prompt injection, c'est exactement ce qui s'est passé avec HERMES.md. Ce n'est pas un attaquant externe qui t'envoie un prompt malveillant. C'est un fichier dans ton propre environnement, que tu as peut-être créé toi-même, qui détourne le comportement de l'agent AI branché dessus.
Les coûts cachés liés aux appels API non maîtrisés sur les outils AI dev ? Pas un seul article de fond dans la presse growth ou dev française en 2025. J'ai cherché. Le sujet n'existe pas dans l'espace francophone. On parle de ROI de l'AI, de productivité, de vitesse de shipping. On ne parle pas de la facture qui arrive en silence.
Claude Code est un agent. Pas un chatbot. La différence est fondamentale.
Un chatbot attend ta prochaine question. Un agent prend des décisions en autonomie dans un environnement : il lit des fichiers, exécute du code, fait des appels API, modifie des fichiers. Pour décider quoi faire, il lit son contexte, y compris les fichiers de ton repo.
HERMES.md contenait des instructions en langage naturel. Pas du code malveillant. Du texte. Des phrases du type "Pour ce projet, tu dois d'abord..." ou des instructions de workflow qui avaient du sens dans un autre contexte mais qui, interprétées par Claude Code comme des directives, ont déclenché une boucle d'actions.
Résultat : des milliers d'appels API générés en autonomie. Une facturation Claude Code hors de contrôle. Sans alerte. Sans plafond actif. Sans notification temps réel. Le dev a découvert le problème plusieurs jours après. Après que la carte soit débitée.
1. Inventorie les surfaces d'injection dans ton repo. Lance un audit simple. Cherche tous les fichiers texte qui pourraient contenir des instructions en langage naturel :
AGENTS.md, CLAUDE.md, HERMES.md, CURSOR_RULES, .cursorrulesREADME.md dans les sous-répertoiresCe ne sont pas des fichiers dangereux en eux-mêmes. Ce sont des vecteurs potentiels d'indirect prompt injection quand un agent LLM comme Claude Code, Cursor ou Copilot Workspace les lit.
2. Pose des plafonds de facturation AVANT de brancher un agent sur ton repo. Avant tout autre chose. Pas après le premier incident. Avant. Anthropic propose des spending limits sur la console. Par défaut, elles ne sont pas activées de manière agressive. Tu dois les configurer manuellement. Mets un seuil d'alerte à 20% de ton budget mensuel prévu. Pas à 100%.
3. Sandboxe tes agents AI. Sépare repo de lecture vs repo de prod. Si tu utilises Claude Code ou un équivalent en autonomie sur un repo, applique ce principe : l'agent ne lit jamais le repo de prod directement. Il travaille sur un fork ou un worktree isolé, avec un sous-ensemble contrôlé de fichiers. Même logique que ne pas donner à un stagiaire les accès root en prod le premier jour.
4. Audite les AI hidden costs dans ton stack complet. Claude Code n'est pas le seul vecteur. Fais l'inventaire :
Pour chaque outil : quel modèle est appelé, à quelle fréquence, avec quelle taille de contexte. Un appel GPT-4o avec 128K tokens à chaque commit sur un repo actif, ça chiffre vite.
5. Traite les fichiers de config AI comme des fichiers de secrets. Les CLAUDE.md, .cursorrules, AGENTS.md ont autant d'impact sur le comportement du LLM qu'un prompt système. Versionne-les explicitement avec des reviews obligatoires, ne laisse jamais un outil tier les modifier sans approbation humaine, documente leur contenu dans ton onboarding tech, audite-les à chaque ajout de dépendance.
Le piège n'est pas technique. Il est organisationnel.
Dans la plupart des équipes, les outils AI dev sont adoptés individuellement. Chaque dev installe ce qu'il veut. Cursor, Claude Code, Continue, Aider, Cody : une douzaine d'agents AI dev sérieux en 2026. Aucun framework d'audit centralisé. Aucune politique d'utilisation. Aucun ownership sur les coûts AI au niveau équipe.
Résultat : les appels API sont facturés sur des cartes perso ou des comptes partagés sans tracking. Les incidents type HERMES.md ne remontent pas parce qu'ils font honte ("j'ai laissé un fichier déclencher une boucle API, comment j'explique ça à mon CTO"). Les LLM hidden costs s'accumulent en silence dans le P&L tech.
J'ai audité plusieurs stacks client ces derniers mois. Le pattern est systématique : entre 15% et 40% des dépenses API LLM ne sont pas tracées dans le budget tech officiel. Elles passent dans les notes de frais ou sur des budgets "outils" sans ligne dédiée. 40% de tes dépenses AI peuvent être invisibles dans ton reporting. C'est un problème de gouvernance autant qu'un problème de sécurité.
997 points sur HN. 427 commentaires. L'un des fils les plus discutés de l'année sur les outils AI dev. Aucune reprise sérieuse dans la presse tech française. Aucun article de fond dans les newsletters growth.
Pourquoi ? Parce que l'incident raconte une histoire inconfortable : les LLMs agentiques dans les workflows dev ne sont pas encore matures pour une intégration sans surveillance active. Et cette histoire ne vend pas de prestation "AI transformation" à 15K€.
Je ne dis pas que Claude Code est dangereux. Je dis que brancher un agent LLM sur un repo sans sandboxing, spending limits et audit de surfaces d'injection, c'est exactement aussi imprudent que de déployer du code en prod sans tests. Personne ne défendrait ça.
Trois actions. Cette semaine. Pas dans 6 mois.
find . -name "*.md" -o -name ".cursorrules" -o -name "AGENTS*" dans ton repo principal. Lis ce que contiennent ces fichiers. Pour de vrai. Durée : 30 minutes.Ce n'est pas de la paranoïa. C'est de la gouvernance de base sur des outils qui ont accès à ton code, à tes APIs et à ta carte bancaire. La sécurité des outils AI n'est pas le sujet le plus sexy du growth en 2026. C'est le sujet qui va créer le plus de dégâts silencieux chez les équipes qui l'ignorent.
HERMES.md a coûté cher à un dev. L'équivalent peut coûter bien plus à une startup, en argent, en temps perdu, en données exposées.
L'audit gratuit, c'est 45 minutes. On regarde ta stack AI dev, tes coûts cachés, ton exposition. Tu repars avec 3 priorités claires.
Réserver mon audit gratuit →Comment monter un agent IA qui qualifie, enrichit et route les leads en autonomie.
Quand ChatGPT répond à ta place, ta stratégie de contenu doit changer.
Le breakdown complet : stack, séquences, prompts, KPIs.