Основатель Bun опровергает связь с утечкой Claude Code — одним словом сразу заблокировал тред

Основатель Bun — открытой JavaScript-исполнительной среды — Джарред Сумнер лично вышел на связь, чтобы опровергнуть обвинения: он заявил, что Bun не является первопричиной утечки исходного кода флагманского продукта Anthropic Claude Code. Пост быстро собрал отклики почти сотни эмодзи, и множество разработчиков присоединились к обсуждению. После ответа Сумнер сразу же закрепил публикацию и изменил заголовок, чтобы завершить дальнейшие действия по управлению и остановить дискуссию.

GitHub Issue #28001: Должен ли Bun стать виноватым в утечке Claude Code

Логика атрибуции разработчика jakeg имеет определённую внешнюю убедительность: Anthropic приобрела Bun в декабре 2025 года; в объявлении о покупке прямо говорится, что «Bun — ключевое расширение инфраструктуры Claude Code». Джарред Сумнер и команда присоединились к Anthropic сразу после покупки; плюс Bun имеет баг, при котором из-за существования Bun.serve() в конфигурации development: false всё равно происходит раскрытие файлов .map клиентам в браузере; при этом npm-пакет Claude Code как раз случайно включил source map объёмом около 60MB — так, казалось бы, между тремя компонентами образуется причинно-следственная цепочка.

Ответ Сумнера был прямым и кратким: «Это не имеет никакого отношения к Claude Code. Этот баг касается фронтенд-разрабатывающего сервера Bun. Claude Code — не фронтенд-приложение; это TUI (терминальная пользовательская среда), и он не использует Bun.serve() для компиляции одиночного исполняемого пакета». Затем он закрепил issue, запретив не соавторам продолжать комментарии, и изменил заголовок на явно обозначенный «Bun’s frontend development server», чтобы предотвратить дальнейшее распространение ошибочной атрибуции.

Существенные различия двух багов: почему они технически полностью разные

Отрицание Сумнера имеет чёткие технические основания: два вопроса относятся к принципиально разным типам ошибок:

Bun #28001 (баг фронтенд-сервера): Bun.serve() при конфигурации development: false всё равно раскрывает клиентам в браузере файлы .map; зона влияния ограничена веб-приложениями, использующими Bun в роли фронтенд-разрабатывающего сервера; с момента коммита 11 марта баг уже три недели не был объединён в исправление

Утечка Claude Code (ошибка настройки сборки CI/CD): npm-пакет v2.1.88 при сборке неожиданно упаковал файл source map объёмом 60MB; официальный комментарий Anthropic — «проблема с релизной сборкой, вызванная человеческой ошибкой»; по сути причина в том, что .npmignore не исключил соответствующие файлы; Claude Code — TUI-терминальное приложение, не использует фронтенд-путь обслуживания Bun.serve()

Бандлер Bun и его фронтенд-разрабатывающий сервер — полностью независимые модули; хотя Claude Code использует Bun как инструмент сборки, технический путь и функциональность, связанные с #28001, не имеют пересечений.

Фон утечки Claude Code: 512K строк кода случайно стали публичной информацией

Точка старта этой технической полемики — серьёзный промах, обнаруженный Chaofan Shou из Solayer Labs в ночь на 31 марта: в npm-пакете Claude Code v2.1.88 случайно оказался полный source map с 512,000 строками TypeScript-кода, 1,906 файлами и 59.8MB; в течение нескольких часов код был зеркально опубликован на GitHub, а число fork превысило 4.1 万.

Стоит отметить, что это не первый раз, когда Anthropic допускает тот же промах. — В феврале 2025 года, когда Claude Code впервые выпустили, такая же утечка уже происходила один раз, и причина была той же: сборочный инструмент Bun по умолчанию генерирует source map, а .npmignore не смог корректно исключить эти файлы. Анализ утёкшего кода сообществом раскрыл секреты производительности Claude Code: в 512K строках лишь 1.6% (около 8,000 строк) напрямую вызывают AI-модель, а остальные 98.4% — это движок запросов, системная часть инструментов, механизмы безопасного контроля и архитектура многoагентного взаимодействия, формирующие полный исполняемый окружение с LLM в качестве ядра, а не обычный чат-интерфейс.

Часто задаваемые вопросы

Баг Bun #28001 привёл к утечке исходного кода Claude Code?

Нет. Два вопроса технически принципиально разные: Bun #28001 — это проблема с фронтенд-разрабатывающим сервером, когда в определённой конфигурации случайно раскрывается source map в браузеру; утечка Claude Code — это ошибка настройки публикации сборки CI/CD, из-за которой артефакты сборки ошибочно попали в npm-пакет. Claude Code — TUI-терминальное приложение, оно не использует фронтенд-сервер Bun, и отрицание Джарреда Сумнера технически корректно.

Почему Джарред Сумнер выбрал закрепление поста вместо того, чтобы дать обсуждению продолжаться?

Сумнер технически уже дал чёткое и краткое объяснение, но характер публичного issue позволяет ошибочной технической атрибуции продолжать распространяться и вредить репутации Bun. Закрепление и изменение заголовка — это стандартная управленческая операция, применяемая после завершения технического пояснения, чтобы отсечь дальнейшее распространение ошибочной информации, особенно в случае issue с вводящим в заблуждение заголовком — это распространённая практика в open-source проектах.

На какой раз произошла эта утечка Claude Code из-за той же проблемы?

Это второй раз. При первом выпуске Claude Code в феврале 2025 года та же утечка source map уже происходила один раз, и причина была полностью одинаковой — сборочный инструмент Bun по умолчанию генерирует source map, а конфигурация .npmignore не смогла корректно исключить эти файлы. После первой утечки Anthropic не добавила достаточно защитных мер в процесс CI/CD, и в итоге v2.1.88 повторила ту же ошибку.