BambuStudio自其分支以来一直违反PrusaSlicer的AGPL许可证

# Josef Prusa (@josefprusa) 来源：https://xcancel.com/josefprusa/status/2054602354851254330 BambuStudio 自分支以来一直违反 PrusaSlicer 的 AGPL 许可证，其网络二进制黑箱问题至今未改。他们为何甘愿因此消耗声誉？有一种东西多数人隐约察觉，却从未集中看到——中国在 2017 至 2023 年间构建的五项法律框架 ⤵️ 所以，也许他们别无选择，因为“网络”的价值已经太大？单看每条法律，还算有趣，嗯……但如果放在一起看，再把任何具有广泛影响力的中国公司代入，你就会看到完整的图景。1) 《国家情报法》(2017 年) 所有组织和公民必须“支持、协助和配合”情报工作。该法同时规定，不得泄露配合行为。配合是强制的，沉默也是强制的。2) 《密码法》(2020 年) 商用密码必须经国家批准和国家审查。当当局要求时，公司必须提供解密密钥或明文。方程两边的“国家”是同一个。3) 《数据安全法》(2021 年) 第二条赋予国家对触及中国国家安全或公共利益的数据的域外管辖权。因此，在欧盟/美国托管数据并不能保证安全，因为管辖权随公司而非服务器所在地而定。4) 《反间谍法》修订版 (2023 年) 间谍行为的定义被普遍扩展至涵盖“与国家秘密和利益相关的文件、数据、材料或物品”。工业数据是此次修订的预期目标之一。5) 《网络产品安全漏洞管理规定》(2021 年) 任何发现软件漏洞的公司或研究人员必须在 48 小时内向工信部报告。然后信息流入由中国国家安全部第十三局运营的国家信息安全漏洞库 (CNNVD)。微软威胁情报团队记录显示，该规定生效后中国国家黑客的零日漏洞利用率上升，表明他们愿意使用中国建立的“工具”。这些法律共同描绘了一个没有中立出口的系统。合作是必须的，加密是真实的，但备用密钥存放在部委；管辖权随公司跨越国界；工业数据被纳入范围；发现的漏洞流向情报机构 😬 3D 打印在 2020 年成为中国的战略重点，并很快被纳入“中国制造 2025”计划。为什么 3D 打印如此重要？1/x [](https://pbs.twimg.com/media/HINlpHeWAAAdv7R.jpg?name=orig) Bambu Lab 3D 打印机：再也不会用了。他们正在破坏开源社会契约（这已经是第 n 次了……），我已不再期待他们能改过自新。yewtu.be/watch?v=eb48MdtN... (https://yewtu.be/watch?v=eb48MdtNaDQ) 2026年5月13日 · 下午4:39 UTC 60 368 2,258 187,566 为什么这对 3D 打印尤其危险，有两个原因：首先，“中国制造 2025”将几乎所有先进技术都定为战略性的，因此工业数据广泛符合“国家安全和利益”的定义。其次，3D 打印机集中在创造新知识产权的地方——研发部门、原型车间、国防供应商、大学实验室、硬件初创公司。设备就摆放在被发明的东西旁边。而切片软件则安装在你的电脑上，拥有与你相同的数据和访问权限。我并非声称我知道 Bambu 内部发生了什么。但这与所有中国制造商都相关，不仅仅是 3D 打印行业。它涉及到摄像头、汽车、以及你编码工具中收集你数据的免费 AI 模型。在中国对 3D 打印进行大规模补贴并取得巨大成功的六年后，我们仍然是仅存的西方桌面制造商。请细品这一点。我个人猜测，这些补贴并非为了西方消费者的利益。你觉得呢？2/x 5 21 552 20,415 PrusaSlicer AGPL 违规具体是什么样的？PS 采用 AGPL-3.0 许可。这是最强的 copyleft 许可证。规则很简单：你可以分支，可以以此为基础建立业务，可以商业发布。但任何衍生作品也必须保持开源。你从社区获取，就要回馈社区。这就是社会契约。PS 是 Slic3r 的一个分支，尽管现在 90% 以上的代码库由我们编写，但我们仍然对其传承感到自豪。BambuStudio (BS) 是 PrusaSlicer (PS) 的一个分支。他们发布了切片器部分，这没问题。但网络插件，即实际与云端通信的部分，是闭源的，只是一个二进制黑箱。对此的标准辩护是“插件是独立作品，不受 copyleft 约束”。这种说法在与实际软件接触后便不攻自破。BS 没有这个插件就无法完成其主要工作。插件没有 BS 也无法运行。它们不是两个彼此通信的产品，而是一个产品为了公关上的许可洗白方便被分成了两个文件 😒 根据 AGPL，这仍然是违规。你不能通过将 copyleft 部分移到函数调用边界之外并称之为独立作品来保持其闭源。我们从我们那里继承下来的许可证不允许这样做。OrcaSlicer 通过分支 BS 继承了同样的许可证，并遵守了规则。大多数人忽略的是，这个网络二进制块甚至没有捆绑在 BS 内部。它在运行时自行下载。所以你可以任意审计 BambuStudio 的开源代码。但你无法有意义地审计实际与云端通信的部分。它位于已发布的软件供应链之外，从一个你无法控制的 CDN 到达，并且可以在不同启动之间被替换，而 Bambu 之外的人根本来不及先看一眼 😬 我在 2023 年 3 月就公开指出了这种架构。同样的架构至今仍在运行。xcancel.com/josefprusa/status/1634... (https://xcancel.com/josefprusa/status/1634250522843553797)那时我们曾考虑过法律行动。我们真的认真考虑过。但实际情况是：PrusaSlicer 是软件，不是硬件。没有可以过境拦截的盒装产品——唯一能让他们遵守的可行途径是……而且被许可方的管辖权落在中国，这意味着案件将在中国法院，由中国法律审理一家中国公司。AGPL 是一个许可证。没有可行执行途径的许可证在实践中只是一个建议。所以 Bambu 逃脱了。网络二进制块继续做着它做的事。经历了多次“我们道歉”之后，我们走到了今天——一个向打开自己小黑箱的小开发者发出法律威胁 🤦‍♂️ 3/x 10 40 636 27,526 从最开始讲一个有趣的故事，因为我想让大家清楚这件事在我们的雷达上存在了多久。PrusaSlicer 2.4 引入了可选的匿名遥测。发布后不久，我们开始在数据库里看到标记为“BambuSlicer”的条目。当时我们还没听说过 BambuStudio。他们的内部构建意外地被配置成将遥测数据发送到我们的服务器，而不是他们自己的 🤭 我们就是这样发现存在一个分支，而且是在他们公开发布之前。发布后，社区不得不呼吁 BambuLab 根据 AGPL 许可证发布 BambuStudio 源代码 xcancel.com/Bryan_Vines/status/154... (https://xcancel.com/Bryan_Vines/status/1542530102419939332?s=20)我们从第一天起就知道这个软件是什么以及它从哪里来。xcancel.com/josefprusa/status/1542... (https://xcancel.com/josefprusa/status/1542259514828791811?s=20)4/4 9 26 553 22,403