Bunの創業者はClaude Codeの漏洩に関与していないと否定し、1文の後にすぐスレッドをロックした。

オープンソースのJavaScript実行環境Bunの創設者Jarred Sumnerが自ら出て疑惑に回答し、BunがAnthropicのフラッグシップ製品Claude Codeのソースコード漏洩の根本原因だと否定しました。投稿はすぐに100件近い絵文字のリアクションを集め、大量の開発者がコメント欄に押し寄せました。Sumnerが回答した直後に投稿と修正されたタイトルをロックし、運用を通じて議論を終了しました。

GitHub Issue #28001：BunはClaude Code漏洩の“罪”を負うべきか

開発者jakegの帰因ロジックには一定の表面的説得力があります。Anthropicは2025年12月にBunを買収し、買収発表では「BunはClaude Code基盤インフラ拡張の鍵」と明確に述べられています。Jarred Sumnerとチームは、買収後にAnthropicに加わりました。さらにBunには、development: falseの設定下でもBun.serve()がブラウザへ .mapファイルを公開してしまうバグが存在します。一方でClaude Codeのnpmパッケージはちょうど意図せず約60MBのsource mapを取り込んでいました――この3つは一見すると因果関係の鎖を形成しているように見えます。

Sumnerの回答は直接的で簡潔でした。「これはClaude Codeとは何の関係もありません。このバグはBunのフロントエンド開発サーバーに対するものです。Claude Codeはフロントエンドアプリではなく、TUI（ターミナルUIプログラム）であり、Bun.serve()を使って単一ファイルの実行可能パッケージをコンパイルしません。」彼は続けてissueをロックし、協力者以外のコメントを禁止し、タイトルを「Bun’s frontend development server」と明確に注記するよう変更して、誤った帰因が拡散するのを防ぎました。

2つのバグの本質的な違い：技術的にどうして完全に異なるのか

Sumnerの否認には技術的に明確な根拠があり、2つの問題は完全に別種のエラーです：

Bun #28001（フロントエンドサーバーバグ）：development: falseの設定下でもBun.serve()がブラウザのクライアントへ .mapのマッピングファイルを露出させる。影響範囲は、Bunをフロントエンド開発サーバーとして使用するWebアプリに限られる。3月11日のコミット以降3週間以上修復がマージされていない

Claude Code漏洩（CI/CDのパッケージング設定ミス）：v2.1.88のnpmパッケージが、ビルド時に意図せず60MBのsource mapファイルを同梱してしまった。Anthropicの公式見解は「人為的な失誤によるリリースのパッケージング問題」であり、本質的には .npmignoreによって該当ファイルが除外されなかったこと。Claude CodeはTUIのターミナルアプリであり、Bun.serve()のフロントエンドサービスの経路を使用しない

Bunのバンドラ（パッケージャー）と、そのフロントエンド開発サーバーは完全に独立したモジュールです。Claude CodeはBunをビルドツールとして使っていても、技術的な経路は#28001に含まれるフロントエンドサーバー機能とは一切交わりません。

Claude Code漏洩の背景：512K行のコードが意図せず公開情報に

今回の技術的論争の出点は、Solayer LabsのChaofan Shouが3月31日の明け方に見つけた重大な失策でした。Claude Code v2.1.88のnpmパッケージの中に、意図せず512,000行のTypeScriptコード、1,906個のファイル、59.8MBの完全なsource mapが紛れ込んでいたのです。数時間のうちにコードはミラーされてGitHubにアップロードされ、フォーク数は4.1万を超えました。

注目すべきは、これがAnthropicにとって初めての同様の失策ではないことです――2025年2月にClaude Codeを初めてリリースした際にも、同じく同種の漏洩がすでに一度発生していました。原因も同じです。Bunビルドツールはデフォルトでsource mapを生成し、.npmignoreがそれらのファイルを正しく除外できていませんでした。コミュニティによる漏洩コードの分析は、Claude Codeの性能の秘密を明らかにしました。512K行のうち直接AIモデルを呼び出しているのはわずか1.6%（約8,000行）で、残り98.4%は検索エンジン、ツールシステム、安全制御、マルチエージェントの協調アーキテクチャで構成されており、LLMを中核とする一つの完全な実行環境になっていて、単なる普通のチャット画面ではないのです。

よくある質問

Bunのバグ#28001はClaude Codeのソースコード漏洩を引き起こしましたか？

いいえ。2つの問題は技術的に根本的にまったく別です。Bun #28001は、特定の設定下でフロントエンド開発サーバーが誤ってsource mapをブラウザへ露出させる問題です。Claude Codeの漏洩は、リリース時のパッケージング（CI/CD）の設定ミスで、ビルド成果物が誤ってnpmパッケージに組み込まれてしまったことによります。Claude CodeはTUIのターミナルアプリであり、Bunのフロントエンド開発サーバーを使用しません。Jarred Sumnerの否認は技術的に正確です。

Jarred Sumnerが投稿をロックして議論を続けさせなかったのはなぜですか？

Sumnerは技術的には明確で簡潔な説明をすでに示していますが、公開されたissueの性質上、誤った技術的な帰因がさらに広がり、Bunの評判に影響する可能性があります。投稿をロックし、タイトルを変更することは、技術的説明が完了した後に誤った情報がこれ以上拡散しないよう切断するための標準的な運用管理です。特に誤解を招くタイトルが付いたissueが対象の場合、これはオープンソースプロジェクトではよくある対応です。

今回のClaude Code漏洩は、同じ問題が起きたのは何回目ですか？

これは2回目です。2025年2月にClaude Codeを初めてリリースした際にも、同じsource map漏洩がすでに一度発生していました。原因は完全に同じです――Bunビルドツールはデフォルトでsource mapを生成し、.npmignore設定がそれらのファイルを正しく除外できませんでした。Anthropicは最初の漏洩後に、CI/CDプロセスへ十分な防護策を追加せず、その結果v2.1.88が同じ過ちを繰り返しました。