Der Gründer von Bun bestreitet die Verbindung zum Leck von Claude Code; nach einem Satz wurde der Beitrag direkt gesperrt und der Thread geschlossen.

Der Gründer des Open-Source-JavaScript-Ausführungsumgebungs Bun, Jarred Sumner, meldete sich persönlich zu Wort, um Kritik zu widerlegen, und bestritt, dass Bun der grundlegende Grund für den angeblichen Quellcode-Leak des Anthropic-Flaggschiffprodukts Claude Code sei. Der Beitrag erhielt rasch fast hundert Emoji-Antworten, und zahlreiche Entwickler strömten in die Kommentare. Nachdem Sumner geantwortet hatte, sperrte er den Beitrag und änderte den Titel, um die Diskussion zu beenden.

GitHub Issue #28001: Sollte Bun die Schuld für den Claude-Code-Leak tragen?

Die Argumentationslogik des Entwicklers jakeg wirkt auf den ersten Blick überzeugend: Anthropic erwarb Bun im Dezember 2025, und in der Übernahmeankündigung hieß es ausdrücklich, „Bun sei der Schlüssel zur Erweiterung der Claude-Code-Infrastruktur“. Jarred Sumner und sein Team stießen nach der Übernahme zu Anthropic; außerdem gibt es einen Bug in Bun, bei dem Bun.serve() in der Konfiguration development: false weiterhin .map-Dateien dem Browser offengelegt. Und das npm-Paket von Claude Code spielte zufällig etwa 60MB eines Source-Maps in die Öffentlichkeit – so scheint sich scheinbar eine Kausalkette zwischen den drei Punkten zu ergeben.

Sumners Antwort war direkt und kurz: „Das hat nichts mit Claude Code zu tun. Dieser Bug betrifft den Frontend-Entwicklungsserver von Bun. Claude Code ist keine Frontend-Anwendung, es ist ein TUI (Terminal-Interface-Programm), das keine Bun.serve() verwendet, um eine einzelne ausführbare Datei zu kompilieren.“ Er sperrte anschließend das Issue, sodass Nicht-Mitwirkende keine weiteren Kommentare posten konnten, und änderte den Titel in „Bun’s frontend development server“, um eine falsche Zuordnung zu verhindern, die sich weiter ausbreiten könnte.

Die grundlegenden Unterschiede zweier Bugs: Technisch gesehen völlig verschieden

Sumners Dementi hat technisch eine klare Grundlage: Die beiden Probleme gehören zu völlig unterschiedlichen Fehlerarten:

Bun #28001 (Bug im Frontend-Server): Bun.serve() legt in der Konfiguration development: false weiterhin .map-Mapping-Dateien für den Browser-Client offen; der Einflussbereich beschränkt sich auf Webanwendungen, die Bun als Frontend-Entwicklungsserver verwenden; seit dem Commit vom 11. März sind drei Wochen vergangen, ohne dass eine Reparatur zusammengeführt wurde

Claude-Code-Leak (Fehler in der CI/CD-Packaging-Konfiguration): Das npm-Paket von v2.1.88 hat beim Build versehentlich eine 60MB große source-map-Datei mitgepackt; die offizielle Darstellung von Anthropic lautet „ein Veröffentlichungs-Packaging-Problem, das durch menschliches Versagen verursacht wurde“; das Wesen liegt darin, dass .npmignore die betreffenden Dateien nicht korrekt ausschließt; Claude Code ist eine TUI-Terminalanwendung und nutzt keinen Frontend-Service-Pfad mit Bun.serve()

Der Packager von Bun und sein Frontend-Entwicklungsserver sind vollständig unabhängige Module. Obwohl Claude Code Bun als Build-Tool nutzt, gibt es technisch keinerlei Schnittmenge mit der Funktion des Frontend-Servers, die #28001 betrifft.

Hintergrund des Claude-Code-Leaks: 512K Zeilen Code wurden versehentlich öffentliches Wissen

Der Ausgangspunkt dieser technischen Kontroverse war ein schwerwiegender Fehltritt, den Chaofan Shou von Solayer Labs am 31. März in den frühen Morgenstunden entdeckte: Das npm-Paket von Claude Code v2.1.88 hatte versehentlich 512.000 Zeilen TypeScript-Code, 1.906 Dateien und eine vollständige Source Map mit 59,8MB enthalten. Innerhalb weniger Stunden wurde der Code auf GitHub gespiegelt; die Fork-Zahl überschritt 4,1 Millionen.

Es ist erwähnenswert, dass dies nicht das erste Mal ist, dass Anthropic denselben Fehler macht – als Claude Code im Februar 2025 zum ersten Mal veröffentlicht wurde, ist ein gleichartiges Leak bereits einmal aufgetreten, ebenfalls aus demselben Grund: Das Bun-Build-Tool erzeugt standardmäßig eine source map, und .npmignore konnte diese Dateien nicht korrekt ausschließen. Die Analyse des geleakten Codes durch die Community enthüllte die Geheimnisse der Leistung von Claude Code: In den 512K Zeilen rufen nur 1,6% (etwa 8.000 Zeilen) direkt das AI-Modell auf; der Rest von 98,4% ist die Suchmaschine, das Tool-System, Sicherheitskontrollen und eine Multi-Agent-Kooperationsarchitektur. Daraus ergibt sich eine vollständige Ausführungsumgebung mit LLM als Kern – nicht einfach eine normale Chat-Oberfläche.

Häufige Fragen

Hat der Bun-Bug #28001 den Quellcode-Leak von Claude Code verursacht?

Nein. Technisch sind die beiden Probleme grundsätzlich unterschiedlich: Bun #28001 ist ein Problem, bei dem ein Frontend-Entwicklungsserver unter bestimmten Konfigurationen versehentlich source map an den Browser offengelegt; das Leak von Claude Code ist ein Fehler in der CI/CD-Packaging-Konfiguration, der dazu führte, dass Build-Artefakte irrtümlich in das npm-Paket aufgenommen wurden. Claude Code ist eine TUI-Terminalanwendung, die keinen Frontend-Server von Bun nutzt; Sumners Dementi ist technisch korrekt.

Warum hat Jarred Sumner den Beitrag gesperrt statt die Diskussion weiterlaufen zu lassen?

Technisch hat Sumner bereits eine klare und knappe Erklärung gegeben, aber die Natur eines öffentlichen Issues erlaubt, dass falsche technische Zuordnungen weiter Verbreitung finden könnten, was Buns Ruf schadet. Den Beitrag zu sperren und den Titel zu ändern ist eine standardmäßige Verwaltungsmaßnahme, um nach Abschluss der technischen Erläuterung zu verhindern, dass fehlerhafte Informationen weiter eskalieren und sich verbreiten – insbesondere bei Issues mit irreführenden Titeln, was in Open-Source-Projekten eine gängige Vorgehensweise ist.

Zum wievielten Mal ist dieses Claude-Code-Leak mit demselben Problem aufgetreten?

Das ist das zweite Mal. Als Claude Code im Februar 2025 zum ersten Mal veröffentlicht wurde, ist der gleiche source-map-Leak bereits einmal aufgetreten, aus genau demselben Grund – das Bun-Build-Tool erzeugt standardmäßig eine source map, und die .npmignore-Konfiguration konnte diese Dateien nicht korrekt ausschließen. Anthropic hatte nach dem ersten Leak im CI/CD-Prozess keine ausreichenden Schutzmaßnahmen hinzugefügt, was schließlich dazu führte, dass v2.1.88 den Fehler erneut wiederholte.