El fundador de Bun niega una supuesta relación con la filtración de Claude Code y, en una sola frase, deja el hilo bloqueado.

El fundador de Bun, un entorno de ejecución JavaScript de código abierto, Jarred Sumner, salió personalmente a responder a las acusaciones, negando que la razón fundamental de que Bun sea responsable de una supuesta filtración del código fuente de Claude Code, el producto insignia de Anthropic, sea esa. La publicación obtuvo rápidamente cerca de un centenar de respuestas con emojis; numerosos desarrolladores acudieron a comentar. Después de que Sumner diera su respuesta, bloqueó la publicación y modificó el título para gestionar la finalización de la discusión.

GitHub Issue #28001：¿Debería Bun cargar con la culpa por la filtración de Claude Code

La lógica de atribución del desarrollador jakeg tiene cierta persuasión a primera vista: Anthropic adquirió Bun en diciembre de 2025; el anuncio de la adquisición afirmaba claramente que «Bun es una extensión clave de la infraestructura de Claude Code»; Jarred Sumner y su equipo se unieron a Anthropic tras la adquisición; además, Bun tiene un bug en el que, con la configuración development: false, todavía expone archivos .map al navegador; y el paquete npm de Claude Code, casualmente, incluía accidentalmente un source map de aproximadamente 60MB. Los tres elementos parecen formar una cadena causal.

La respuesta de Sumner fue directa y breve: «Esto no tiene nada que ver con Claude Code. Este bug es para el servidor de desarrollo front-end de Bun. Claude Code no es una aplicación front-end; es un TUI (programa de interfaz de terminal) y no compila un binario de un solo archivo ejecutable usando Bun.serve()». Después, bloqueó el issue para prohibir que quienes no eran colaboradores siguieran comentando y cambió el título para marcar explícitamente «Bun’s frontend development server», con el fin de evitar que se siguiera difundiendo la atribución errónea.

La diferencia esencial entre dos bugs: por qué técnicamente son completamente distintos

La negación de Sumner tiene un respaldo técnico claro; los dos problemas pertenecen a tipos de errores totalmente diferentes:

Bun #28001（bug del servidor front-end）：Bun.serve() en configuración development: false sigue exponiendo archivos .map de asignación al cliente del navegador; el alcance se limita a aplicaciones web que usan Bun como servidor de desarrollo front-end; desde el envío del 11 de marzo, ya han pasado tres semanas y aún no se ha fusionado la corrección

Filtración de Claude Code（error de configuración de empaquetado CI/CD）：el paquete npm de v2.1.88, durante la compilación, empaquetó accidentalmente un archivo de source map de 60MB; la versión oficial de Anthropic es que «se trata de un problema de publicación causado por error humano»; la raíz es que .npmignore omitió los archivos relacionados; Claude Code es una aplicación TUI de terminal y no usa la ruta de servicio front-end de Bun.serve()

El empaquetador de Bun y su servidor de desarrollo front-end son módulos totalmente independientes; aunque Claude Code use Bun como herramienta de construcción, su ruta técnica no tiene ninguna intersección con la función del servidor front-end involucrada en #28001.

Antecedentes de la filtración de Claude Code：512K líneas de código se vuelven información pública por accidente

El inicio de esta controversia técnica fue un grave descuido descubierto por Chaofan Shou, de Solayer Labs, en la madrugada del 31 de marzo: en el paquete npm de Claude Code v2.1.88 se incluyó accidentalmente código TypeScript de 512,000 líneas, 1,906 archivos y un source map completo de 59.8MB. En pocas horas, el código se replicó en GitHub y el número de forks superó 41,000.

Cabe destacar que esto no fue el primer caso similar de Anthropic: cuando Claude Code se publicó por primera vez en febrero de 2025, ocurrió una filtración idéntica por la misma razón: la herramienta de construcción de Bun genera source maps de forma predeterminada, y .npmignore no logró excluir correctamente esos archivos. El análisis comunitario del código filtrado reveló el secreto del rendimiento de Claude Code: de esas 512K líneas, solo el 1.6% (aprox. 8,000 líneas) invoca directamente modelos de IA; el 98.4% restante consiste en el motor de consulta, el sistema de herramientas, controles de seguridad y una arquitectura de colaboración entre múltiples agentes, formando un entorno de ejecución completo con LLM como núcleo, no una interfaz de chat ordinaria.

Preguntas frecuentes

¿El bug de Bun #28001 causó la filtración del código fuente de Claude Code?

No. Técnicamente, los dos problemas son fundamentalmente diferentes: Bun #28001 es el problema del servidor de desarrollo front-end que, bajo una configuración específica, expuso accidentalmente el source map al navegador; la filtración de Claude Code es un error de configuración de empaquetado de publicación CI/CD que hizo que el artefacto de construcción se incluyera erróneamente en el paquete npm. Claude Code es una aplicación TUI de terminal y no usa el servidor front-end de Bun; la negación de Jarred Sumner es técnicamente precisa.

¿Por qué Jarred Sumner eligió bloquear el post en lugar de dejar que la discusión continuara?

Sumner ya dio una explicación clara y breve a nivel técnico, pero la naturaleza de un issue público permite que atribuciones técnicas erróneas sigan propagándose y afecten la reputación de Bun. Bloquear el issue y modificar el título es una operación estándar de gestión para cortar la difusión adicional de información errónea después de completar la aclaración técnica, especialmente para issues con títulos potencialmente engañosos, lo cual es una práctica habitual en proyectos de código abierto.

¿Esta filtración de Claude Code es la enésima vez que ocurre el mismo problema?

Es la segunda vez. Cuando Claude Code se publicó por primera vez en febrero de 2025, la misma filtración del source map ya ocurrió una vez; la causa fue totalmente la misma: la herramienta de construcción de Bun genera source maps por defecto, y la configuración de .npmignore no logró excluir correctamente esos archivos. Después de la primera filtración, Anthropic no incorporó suficientes medidas de protección en el flujo CI/CD, lo que finalmente llevó a que v2.1.88 repitiera el mismo fallo.