Засновник Bun спростував зв’язок витоку Claude Code, після чого одразу закрив тред.

Засновник відкритого JavaScript-рантайму Bun Джарред Сумнер власноруч вийшов і відповів на звинувачення, спростувавши, що Bun нібито є першопричиною витоку коду флагманського продукту Anthropic — Claude Code. Публікація швидко зібрала близько сотні відповідей зі смайликами: багато розробників приєдналися до обговорення в коментарях. Після відповіді Сумнер одразу заблокував допис і змінив заголовок, щоб припинити подальше поширення дискусії.

GitHub Issue #28001：Чи має Bun нести відповідальність за витік Claude Code

Логіка дедукції розробника jakeg має певну поверхневу переконливість: Anthropic у грудні 2025 року придбала Bun, а в повідомленні про придбання прямо зазначено «Bun — ключове розширення інфраструктури Claude Code». Джарред Сумнер і команда приєдналися до Anthropic після придбання; крім того, у Bun є баг: за наявності конфігурації development: false він усе ще розкриває .map-файли клієнту в браузері; натомість пакет npm Claude Code несподівано містив source map обсягом приблизно 60MB — начебто ці три фактори утворювали ланцюжок причинно-наслідкових зв’язків.

Відповідь Сумнера була прямою й короткою: «Це не має жодного стосунку до Claude Code. Цей баг стосується переднього розробницького веб-сервера Bun. Claude Code — не фронтенд-додаток; це TUI (термінальний інтерфейс), і він не використовує Bun.serve() для компіляції одного файлу в виконуваний пакет». Після цього він заблокував issue, щоб не-співробітники не могли продовжувати коментувати, і змінив заголовок на чітке маркування «Bun’s frontend development server», щоб помилкове приписування не продовжувало поширюватися.

Суттєва різниця двох багів: технічно чому вони повністю різні

У технічному плані заперечення Сумнера має чітку підставу: обидві проблеми — це повністю різні типи помилок：

Bun #28001 (баг фронтенд-сервера)：Bun.serve() за конфігурації development: false все одно розкриває браузерному клієнту файли .map; зона впливу обмежена веб-застосунками, де Bun використовується як фронтенд-розробницький сервер; з моменту коміту від 11 березня вже три тижні не злитий фікс

Витік Claude Code (помилка конфігурації пакування CI/CD)：npm-пакет v2.1.88 під час збірки випадково запакував файл source map обсягом 60MB; офіційна позиція Anthropic — «проблема з релізним пакуванням, спричинена людським промахом»; суть у тому, що .npmignore не включив/не виключив відповідні файли належним чином; Claude Code як TUI-термінальний застосунок не використовує фронтенд-сервісний шлях Bun.serve()

Збирач Bun і його фронтенд-розробницький сервер — повністю незалежні модулі; Claude Code, хоча й використовує Bun як інструмент збірки, не має жодного перетину з функціональністю фронтенд-сервера, задіяного в #28001.

Передісторія витоку Claude Code：512K рядків коду випадково стали публічною інформацією

Початком цієї технічної суперечки стало суттєве упущення, виявлене Chaofan Shou з Solayer Labs у ніч проти 31 березня: у npm-пакеті Claude Code v2.1.88 випадково опинилися 512,000 рядків коду на TypeScript, 1,906 файлів і повний source map на 59.8MB. Протягом кількох годин код віддзеркалили на GitHub, а кількість fork перевищила 4.1 тисячі.

Варто зауважити, що це не перший випадок, коли Anthropic припускається такого самого упущення. У лютому 2025 року під час першого релізу Claude Code такий самий витік уже траплявся — причини були ті самі: будівельний інструмент Bun за замовчуванням генерує source map, а .npmignore не зміг коректно виключити ці файли. Аналіз витоку спільнотою розкрив секрети продуктивності Claude Code: лише 1.6% (близько 8,000 рядків) з 512K рядків напряму викликає AI-модель, а решта 98.4% — це рушій запитів, інструментальна система, системи безпеки та архітектура з багатьма агентами, що формує повне середовище виконання з LLM у центрі, а не звичайний чат-інтерфейс.

Поширені запитання

Чи спричинив баг Bun #28001 витік вихідного коду Claude Code?

Ні. Технічно це взагалі різні проблеми: Bun #28001 — це проблема фронтенд-розробницького сервера, який за певної конфігурації випадково розкриває source map у браузер; витік Claude Code — це помилка конфігурації CI/CD під час релізного пакування, через яку збіркові артефакти помилково потрапили в npm-пакет. Claude Code — це TUI-термінальний застосунок, який не використовує фронтенд-сервер Bun; заперечення Джарреда Сумнера технічно є коректним.

Чому Джарред Сумнер вирішив заблокувати тред, а не дозволити обговоренню тривати?

У технічному плані Сумнер уже дав чітке й коротке пояснення, але сам характер публічного issue може сприяти подальшому поширенню помилкової технічної атрибуції, що впливає на репутацію Bun. Блокування треду й зміна заголовка — це стандартна операція менеджменту, яка перерізає поширення неправильних повідомлень після завершення технічних роз’яснень, особливо коли йдеться про issue із потенційно оманливими заголовками — це поширена практика в open-source проєктах.

Цей витік Claude Code — який за рахунком випадок тієї самої проблеми?

Це другий раз. У лютому 2025 року, коли Claude Code вперше опублікували, такий самий витік source map уже траплявся один раз, і причини були повністю ті самі — будівельний інструмент Bun за замовчуванням генерує source map, а конфігурація .npmignore не змогла коректно виключити ці файли. Після першого витоку Anthropic не додала достатніх захисних заходів у процес CI/CD, що зрештою призвело до повторення історії у v2.1.88.