Pendiri Bun membantah dugaan hubungan terkait kebocoran Claude Code, dan setelah satu kalimat langsung mengunci thread/topik

Pendir Bun, lingkungan eksekusi JavaScript open-source, Jarred Sumner sendiri turun tangan menanggapi tuduhan, membantah bahwa penyebab mendasar kebocoran kode sumber Claude Code—produk unggulan dari Anthropic—adalah Bun. Posting tersebut dengan cepat memperoleh hampir seratus balasan emoji, dan banyak pengembang membanjiri bagian komentar. Setelah Sumner memberikan respons, ia langsung mengunci postingan dan mengubah judul untuk mengelola agar diskusi dihentikan.

GitHub Issue #28001: Apakah Bun harus “menanggung” kebocoran Claude Code?

Logika atribusi dari pengembang jakeg memiliki daya persuasi yang cukup pada pandangan pertama: Anthropic membeli Bun pada Desember 2025; pengumuman akuisisi secara jelas menyatakan “Bun adalah pengembangan infrastruktur kunci untuk Claude Code.” Jarred Sumner dan timnya bergabung dengan Anthropic setelah akuisisi; ditambah lagi, terdapat bug pada Bun yang di development: false masih mengekspos berkas .map kepada browser melalui Bun.serve(); sedangkan paket npm Claude Code justru secara tak sengaja menyertakan source map sebesar sekitar 60MB—ketiganya tampak membentuk rantai sebab-akibat.

Respons Sumner tegas dan singkat: “Ini tidak ada hubungannya dengan Claude Code. Bug ini menargetkan server pengembangan front-end Bun. Claude Code bukan aplikasi front-end; ia adalah TUI (program antarmuka terminal), dan tidak menggunakan Bun.serve() untuk mengompilasi paket eksekusi satu berkas.” Ia kemudian mengunci issue tersebut untuk melarang komentar lanjutan oleh non-kolaborator, dan mengubah judul menjadi penanda yang jelas “Bun’s frontend development server” agar atribusi keliru tidak terus menyebar.

Perbedaan mendasar kedua bug: Mengapa secara teknis benar-benar berbeda

Penyangkalan Sumner memiliki dasar yang jelas secara teknis; kedua masalah termasuk jenis kesalahan yang sepenuhnya berbeda:

Bun #28001 (bug server front-end): Bun.serve() pada konfigurasi development: false tetap mengekspos berkas pemetaan .map kepada klien browser; cakupan dampak terbatas pada aplikasi Web yang menggunakan Bun sebagai server pengembangan front-end; sejak commit 11 Maret, sudah tiga minggu tanpa perbaikan yang digabung

Kebocoran Claude Code (kesalahan konfigurasi paket CI/CD): paket npm v2.1.88 secara tak terduga mengemas berkas source map berukuran 60MB saat proses build; penjelasan resmi dari Anthropic adalah “masalah penerbitan saat proses packaging yang disebabkan oleh human error”; inti masalahnya adalah .npmignore yang kehilangan berkas terkait; Claude Code adalah aplikasi TUI terminal, dan tidak menggunakan jalur layanan front-end Bun.serve()

Pengemas (packager) Bun benar-benar modul yang independen dari server pengembangan front-end-nya. Meski Claude Code menggunakan Bun sebagai alat build, jalur teknisnya tidak memiliki persinggungan apa pun dengan fungsi server front-end yang dibahas pada #28001.

Latar belakang kebocoran Claude Code: 512K baris kode yang tak sengaja menjadi informasi publik

Titik awal kontroversi teknis ini adalah kesalahan besar yang ditemukan oleh Chaofan Shou dari Solayer Labs pada dini hari 31 Maret: pada paket npm dari Claude Code v2.1.88 secara tak sengaja tersisip 512.000 baris kode TypeScript, 1.906 berkas, dan source map lengkap 59,8MB. Dalam beberapa jam, kodenya dipantulkan (mirrored) ke GitHub, dan jumlah fork menembus 41 ribu.

Perlu dicatat bahwa ini bukan pertama kalinya Anthropic melakukan kesalahan serupa—pada Februari 2025, saat Claude Code pertama kali dirilis, kebocoran sumber map yang sama telah terjadi sekali sebelumnya, dengan penyebab yang sama: alat build Bun secara default menghasilkan source map, sementara .npmignore tidak berhasil mengecualikan berkas-berkas tersebut dengan benar. Analisis komunitas terhadap kode yang bocor mengungkap rahasia performa Claude Code: dari 512K baris tersebut, hanya 1,6% (sekitar 8.000 baris) yang secara langsung memanggil model AI; sisanya 98,4% adalah mesin pencarian, sistem alat, kontrol keamanan, dan arsitektur kolaborasi multi-agen, membentuk lingkungan eksekusi lengkap dengan LLM sebagai inti, bukan sekadar antarmuka obrolan biasa.

Pertanyaan yang sering diajukan

Apakah bug Bun #28001 menyebabkan kebocoran kode sumber Claude Code?

Tidak. Secara teknis, kedua masalah tersebut benar-benar berbeda: Bun #28001 adalah masalah server pengembangan front-end yang secara tidak sengaja mengekspos source map ke browser pada konfigurasi tertentu; sedangkan kebocoran Claude Code adalah kesalahan konfigurasi CI/CD saat merilis yang membuat artefak build secara keliru masuk ke paket npm. Claude Code adalah aplikasi TUI terminal, tidak menggunakan server pengembangan front-end Bun; sanggahan Jarred Sumner secara teknis akurat.

Mengapa Jarred Sumner memilih mengunci postingan daripada membiarkan diskusi berlanjut?

Secara teknis, Sumner sudah memberikan penjelasan yang jelas dan ringkas, tetapi sifat issue publik membuat atribusi teknis yang keliru mungkin terus menyebar, sehingga memengaruhi reputasi Bun. Mengunci postingan dan mengubah judul adalah tindakan manajemen standar untuk memutus penyebaran informasi keliru lebih lanjut setelah penjelasan teknis selesai—terutama untuk issue yang memiliki judul yang menyesatkan—yang merupakan praktik umum dalam proyek open-source.

Kebocoran Claude Code ini adalah yang ke berapa kali masalah serupa terjadi?

Ini yang kedua. Saat Claude Code pertama kali dirilis pada Februari 2025, kebocoran source map yang sama telah terjadi satu kali sebelumnya, dengan penyebab yang sepenuhnya sama—alat build Bun secara default menghasilkan source map, sementara konfigurasi .npmignore tidak berhasil mengecualikan berkas-berkas tersebut dengan benar. Setelah kebocoran pertama, Anthropic tidak menambahkan langkah perlindungan yang cukup dalam proses CI/CD, yang akhirnya menyebabkan v2.1.88 mengulangi kesalahan yang sama.