El 14 de mayo se fusionó en la rama principal de Bun el pull request #30412: algo más de un millón de líneas de Rust, 6.755 commits, generadas en nueve días casi en su totalidad por agentes de Claude Code. Anthropic, que adquirió Bun en diciembre, proporcionó los agentes. La implementación en Zig que sostenía el runtime desapareció del repositorio, según confirmó Jarred Sumner, fundador del proyecto.
La nueva base pasa el 99,8% de la suite de pruebas, una cifra elevada pero que solo certifica equivalencia de comportamiento en la interfaz pública, no seguridad de memoria. El binario se redujo unos pocos megabytes y los benchmarks quedaron neutros o ligeramente más rápidos.
La motivación declarada por Sumner fue la seguridad de memoria que ofrece Rust frente a errores de uso después de liberación que el código en Zig les costó años de depurar. Sin embargo, la reescritura incluye más de 10.000 bloques unsafe en más de 700 archivos. Como referencia, uv, un proyecto Rust de tamaño comparable del mismo ecosistema, contiene 73. El equipo publicó una guía de portabilidad que pedía traducir Zig de forma fiel; el resultado es gestión manual de memoria envuelta en sintaxis Rust: en cada lugar donde el comprobador de préstamos rechazaría el código Zig, la traducción recurrió a unsafe, anulando la garantía que justificó el cambio.
Reducir esos bloques no es una tarea trivial: verificar Rust inseguro es tan difícil que Amazon impulsa un esfuerzo comunitario para auditar la biblioteca estándar, que ha generado más de veinte CVEs pese a décadas de revisión humana. El hilo de 685 puntos en Hacker News preguntó quién revisa un millón de líneas enviadas por un agente en nueve días. La respuesta honesta es que nadie pudo leerlo al ritmo al que se escribió, y la confianza del equipo descansa en la suite de pruebas, que nunca midió la seguridad que motivó la migración.