開源 JavaScript 執行環境 Bun 的創辦人 Jarred Sumner 親自下場回應質疑,否認 Bun 是 Anthropic 旗艦產品 Claude Code 源碼洩漏的根本原因。帖子迅速獲得近百個表情符號回應,大量開發者湧入跟帖。Sumner 給出回應後即鎖定貼文與修改標題,以管理操作終止討論。
GitHub Issue #28001:Bun 是否應為 Claude Code 洩漏背鍋
開發者 jakeg 的歸因邏輯有一定的表面說服力:Anthropic 於 2025 年 12 月收購了 Bun,收購公告明確稱「Bun 是 Claude Code 基礎設施擴展的關鍵」,Jarred Sumner 和團隊隨收購加入 Anthropic;加之 Bun 存在 Bun.serve() 在 development: false 配置下仍向瀏覽器暴露 .map 檔案的 bug;而 Claude Code 的 npm 套件恰好意外打入了約 60MB 的 source map——三者之間看似形成因果鏈。
Sumner 的回應直接而簡短:「這和 Claude Code 沒有任何關係。這個 bug 針對的是 Bun 的前端開發伺服器。Claude Code 不是前端應用,它是一個 TUI(終端界面程式),不使用 Bun.serve() 來編譯單檔可執行包。」他隨即鎖定 issue 禁止非協作者繼續評論,並將標題修改為明確標注「Bun’s frontend development server」以防錯誤歸因繼續擴散。
兩個 Bug 的本質差異:技術上為何完全不同
Sumner 的否認在技術上有明確依據,兩個問題屬於完全不同的錯誤類型:
Bun #28001(前端伺服器 bug):Bun.serve() 在 development: false 配置下仍向瀏覽器客戶端暴露 .map 映射檔案;影響範圍限於使用 Bun 作為前端開發伺服器的 Web 應用;自 3 月 11 日提交以來已三週未合併修復
Claude Code 洩漏(CI/CD 打包配置錯誤):v2.1.88 的 npm 套件在構建時意外打包了 60MB 的 source map 檔案;Anthropic 官方說法是「由人為失誤導致的發布打包問題」,本質是 .npmignore 漏掉了相關檔案;Claude Code 為 TUI 終端應用,不使用 Bun.serve() 的前端服務路徑
Bun 的打包器與其前端開發伺服器是完全獨立的模組,Claude Code 雖以 Bun 作為構建工具,但技術路徑與 #28001 所涉的前端伺服器功能毫無交集。
Claude Code 洩漏背景:512K 行代碼意外成公開資訊
這場技術爭議的起點,是 Solayer Labs 的 Chaofan Shou 於 3 月 31 日凌晨發現的重大失誤:Claude Code v2.1.88 的 npm 套件中意外打入了 512,000 行 TypeScript 代碼、1,906 個檔案、59.8MB 的完整 source map。幾小時內代碼被鏡像至 GitHub,fork 數突破 4.1 萬。
值得注意的是,這並非 Anthropic 第一次犯下相同失誤——2025 年 2 月 Claude Code 首次發布時,相同的洩漏就已發生過一次,原因也相同:Bun 構建工具預設生成 source map,而 .npmignore 未能正確排除這些檔案。社群對洩漏代碼的分析揭示了 Claude Code 性能的秘密:512K 行中僅 1.6%(約 8,000 行)直接調用 AI 模型,其餘 98.4% 是查詢引擎、工具系統、安全控制和多代理協作架構,形成了一個以 LLM 為核心的完整執行環境,而非普通聊天界面。
常見問題
Bun bug #28001 是否造成了 Claude Code 的源碼洩漏?
否。兩個問題在技術上根本不同:Bun #28001 是前端開發伺服器在特定配置下意外暴露 source map 給瀏覽器的問題;Claude Code 的洩漏是發布打包的 CI/CD 配置錯誤,導致構建產物被誤打入 npm 套件。Claude Code 是 TUI 終端應用,不使用 Bun 的前端伺服器,Jarred Sumner 的否認在技術上是準確的。
Jarred Sumner 為何選擇鎖帖而非讓討論繼續?
Sumner 在技術上已給出明確且簡短的解釋,但公開 issue 的性質使得錯誤的技術歸因可能繼續傳播,影響 Bun 的聲譽。鎖帖並修改標題,是在技術說明完成後切斷錯誤信息進一步擴散的標準管理操作,尤其是涉及具有誤導性標題的 issue,這在開源項目中是常見做法。
這次 Claude Code 洩漏是第幾次發生相同問題?
這是第二次。2025 年 2 月 Claude Code 首次發布時,相同的 source map 洩漏就已發生過一次,原因完全相同——Bun 構建工具預設生成 source map,而 .npmignore 配置未能正確排除這些檔案。Anthropic 在第一次洩漏後並未在 CI/CD 流程中加入足夠的防護措施,最終導致 v2.1.88 重蹈覆轍。
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
