Bun 创办人否认 Claude Code 泄漏关联,一句话后直接锁帖
开源 JavaScript 执行环境 Bun 的创办人 Jarred Sumner 亲自下场回应质疑,否认 Bun 是 Anthropic 旗舰产品 Claude Code 源码泄漏的根本原因。帖子迅速获得近百个表情符号回应,大量开发者涌入跟帖。Sumner 给出回应后即锁定贴文与修改标题,以管理操作终止讨论。
GitHub Issue #28001:Bun 是否应为 Claude Code 泄漏背锅
开发者 jakeg 的归因逻辑有一定的表面说服力:Anthropic 于 2025 年 12 月收购了 Bun,收购公告明确称「Bun 是 Claude Code 基础设施扩展的关键」,Jarred Sumner 和团队随收购加入 Anthropic;加之 Bun 存在 Bun.serve() 在 development: false 配置下仍向浏览器暴露 .map 文件的 bug;而 Claude Code 的 npm 套件恰好意外打入了约 60MB 的 source map——三者之间看似形成因果链。
Sumner 的回应直接而简短:「这和 Claude Code 没有任何关系。这个 bug 针对的是 Bun 的前端开发服务器。Claude Code 不是前端应用,它是一 个 TUI(终端界面程序),不使用 Bun.serve() 来编译单档可执行包。」他随即锁定 issue 禁止非协作者继续评论,并将标题修改为明确标注「Bun’s frontend development server」以防错误归因继续扩散。
两个 Bug 的本质差异:技术上为何完全不同
Sumner 的否认在技术上有明确依据,两个问题属于完全不同的错误类型:
Bun #28001(前端服务器 bug):Bun.serve() 在 development: false 配置下仍向浏览器客户端暴露 .map 映射文件;影响范围限于使用 Bun 作为前端开发服务器的 Web 应用;自 3 月 11 日提交以来已三周未合并修复
Claude Code 泄漏(CI/CD 打包配置错误):v2.1.88 的 npm 套件在构建时意外打包了 60MB 的 source map 文件;Anthropic 官方说法是「由人为失误导致的发布打包问题」,本质是 .npmignore 漏掉了相关文件;Claude Code 为 TUI 终端应用,不使用 Bun.serve() 的前端服务路径
Bun 的打包器与其前端开发服务器是完全独立的模块,Claude Code 虽以 Bun 作为构建工具,但技术路径与 #28001 所涉的前端服务器功能毫无交集。
Claude Code 泄漏背景:512K 行代码意外成公开资讯
这场技术争议的起点,是 Solayer Labs 的 Chaofan Shou 于 3 月 31 日凌晨发现的重大失误:Claude Code v2.1.88 的 npm 套件中意外打入了 512,000 行 TypeScript 代码、1,906 个文件、59.8MB 的完整 source map。几小时内代码被镜像至 GitHub,fork 数突破 4.1 万。
值得注意的是,这并非 Anthropic 第一次犯下相同失误——2025 年 2 月 Claude Code 首次发布时,相同的泄漏就已发生过一次,原因也相同:Bun 构建工具预设生成 source map,而 .npmignore 未能正确排除这些文件。社群对泄漏代码的分析揭示了 Claude Code 性能的秘密:512K 行中仅 1.6%(约 8,000 行)直接调用 AI 模型,其余 98.4% 是查询引擎、工具系统、安全控制和多代理协作架构,形成了一个以 LLM 为核心的完整执行环境,而非普通聊天界面。
常见问题
Bun bug #28001 是否造成了 Claude Code 的源码泄漏?
否。两个问题在技术上根本不同:Bun #28001 是前端开发服务器在特定配置下意外向浏览器暴露 source map 的问题;Claude Code 的泄漏是发布打包的 CI/CD 配置错误,导致构建产物被误打入 npm 套件。Claude Code 是 TUI 终端应用,不使用 Bun 的前端服务器,Jarred Sumner 的否认在技术上是准确的。
Jarred Sumner 为何选择锁帖而非让讨论继续?
Sumner 在技术上已给出明确且简短的解释,但公开 issue 的性质使得错误的技术归因可能继续传播,影响 Bun 的声誉。锁帖并修改标题,是在技术说明完成后切断错误信息进一步扩散的标准管理操作,尤其是涉及具有误导性标题的 issue,这在开源项目中是常见做法。
这次 Claude Code 泄漏是第几次发生相同问题?
这是第二次。2025 年 2 月 Claude Code 首次发布时,相同的 source map 泄漏就已发生过一次,原因完全相同——Bun 构建工具预设生成 source map,而 .npmignore 配置未能正确排除这些文件。Anthropic 在第一次泄漏后并未在 CI/CD 流程中加入足够的防护措施,最终导致 v2.1.88 重蹈覆辙。