Le fondateur de Bun nie tout lien avec la fuite de Claude Code, puis ferme directement le fil.

Le fondateur de l’environnement d’exécution JavaScript open source Bun, Jarred Sumner, est intervenu personnellement pour répondre aux accusations, niant que Bun soit la cause fondamentale de la fuite de la base de code de Claude Code, le produit phare d’Anthropic. Le billet a rapidement recueilli près d’une centaine de réponses sous forme d’emojis ; de nombreux développeurs sont venus commenter. Une fois la réponse de Sumner publiée, il a verrouillé le billet et modifié le titre afin de mettre fin aux échanges et de les empêcher de continuer.

GitHub Issue #28001 : Bun doit-il porter la faute pour la fuite de Claude Code

La logique d’attribution du développeur jakeg semble avoir une certaine crédibilité de surface : Anthropic a acquis Bun en décembre 2025, et l’annonce d’acquisition indiquait clairement que « Bun est une extension clé de l’infrastructure de Claude Code ». Jarred Sumner et son équipe se sont joints à Anthropic suite à l’acquisition ; de plus, Bun présente un bug selon lequel, avec la configuration development: false, Bun.serve() expose encore des fichiers .map au navigateur ; et le paquet npm de Claude Code, par coïncidence, a intégré par erreur un source map d’environ 60MB — les trois éléments semblent former une chaîne de causalité.

La réponse de Sumner est directe et brève : « Ce n’a rien à voir avec Claude Code. Ce bug concerne le serveur de développement frontal de Bun. Claude Code n’est pas une application frontale : c’est un TUI (programme d’interface terminale), et il n’utilise pas Bun.serve() pour compiler un paquet exécutable à fichier unique. » Il a immédiatement verrouillé l’issue pour empêcher les non-collaborateurs de continuer à commenter, et a modifié le titre pour indiquer clairement « Bun’s frontend development server » afin d’éviter que des attributions erronées continuent de se propager.

Les différences fondamentales entre les deux bugs : pourquoi c’est techniquement totalement différent

Le démenti de Sumner s’appuie techniquement sur des bases claires ; les deux problèmes relèvent de deux types d’erreurs totalement différents :

Bun #28001 (bug du serveur frontal) : Bun.serve() en configuration development: false expose encore, côté client navigateur, des fichiers de mappage .map ; la portée est limitée aux applications Web qui utilisent Bun comme serveur de développement frontal ; depuis la soumission du 11 mars, cela fait trois semaines qu’aucune correction n’a encore été fusionnée

Fuite de Claude Code (erreur de configuration CI/CD lors de l’empaquetage) : le paquet npm de v2.1.88 a, pendant la construction, intégré par erreur un fichier de source map de 60MB ; selon la version officielle d’Anthropic, il s’agit d’un « problème de publication résultant d’une erreur humaine » ; la cause essentielle est que .npmignore n’a pas exclu correctement les fichiers concernés ; Claude Code étant une application TUI pour terminal, elle n’utilise pas le chemin du service frontal de Bun qui passe par Bun.serve()

Le bundler de Bun et son serveur de développement frontal sont des modules totalement indépendants ; même si Claude Code utilise Bun comme outil de build, son parcours technique n’a aucune intersection avec la fonctionnalité de serveur frontal évoquée dans le cas #28001.

Contexte de la fuite de Claude Code : 512K lignes de code devenues par erreur une information publique

Le point de départ de cette controverse technique est une erreur majeure découverte dans la nuit du 31 mars par Chaofan Shou de Solayer Labs : le paquet npm de Claude Code v2.1.88 a, par erreur, intégré 512 000 lignes de code TypeScript, 1 906 fichiers et une source map complète de 59,8MB. En quelques heures, le code a été mis en miroir sur GitHub, et le nombre de forks a dépassé les 41 000.

Il convient de noter que ce n’est pas la première fois qu’Anthropic commet une erreur similaire — lors de la première publication de Claude Code en février 2025, la même fuite de source map s’était déjà produite, pour une raison identique : l’outil de build Bun génère par défaut des source maps, et .npmignore n’a pas réussi à exclure correctement ces fichiers. L’analyse par la communauté du code fuit révélait un secret de la performance de Claude Code : sur les 512K lignes, seulement 1,6% (environ 8 000 lignes) invoquent directement le modèle AI ; les 98,4% restants sont constitués de l’environnement d’exécution complet centré sur un LLM : moteur de requêtes, système d’outils, contrôles de sécurité et architecture de collaboration multi-agents, ce n’est donc pas une simple interface de discussion.

Questions fréquentes

Le bug de Bun #28001 a-t-il causé la fuite du code source de Claude Code ?

Non. Les deux problèmes sont fondamentalement différents sur le plan technique : Bun #28001 concerne un problème où, sous une configuration donnée, le serveur de développement frontal expose accidentellement des source maps au navigateur ; la fuite de Claude Code est une erreur de configuration CI/CD lors de la publication de l’empaquetage, qui entraîne que le résultat de la construction est inséré par erreur dans le paquet npm. Claude Code est une application TUI pour terminal, elle n’utilise pas le serveur frontal de Bun ; le démenti de Jarred Sumner est techniquement exact.

Pourquoi Jarred Sumner a-t-il choisi de verrouiller le post plutôt que de laisser la discussion continuer ?

Sur le plan technique, Sumner a déjà fourni une explication claire et concise, mais la nature de l’issue publique peut permettre que l’attribution erronée de la faute technique continue de se propager, ce qui affecterait la réputation de Bun. Verrouiller l’issue et modifier le titre est une opération de gestion standard consistant à couper la diffusion supplémentaire d’informations erronées une fois la description technique terminée, en particulier lorsqu’il s’agit d’une issue dont le titre est susceptible d’induire en erreur — une pratique courante dans les projets open source.

Cette fuite de Claude Code est la n-ième fois que le même problème survient ?

C’est la deuxième fois. Lors de la première publication de Claude Code en février 2025, la même fuite de source map s’était déjà produite une fois auparavant, avec une cause parfaitement identique : l’outil de build de Bun génère par défaut des source maps, et la configuration de .npmignore n’a pas réussi à exclure correctement ces fichiers. Après la première fuite, Anthropic n’a pas ajouté suffisamment de mesures de protection dans le processus CI/CD, ce qui a finalement conduit v2.1.88 à reproduire le même scénario.