Bambu Lab 正在滥用开源社会契约

# Bambu Lab 正在滥用开源社区协议 来源：https://www.jeffgeerling.com/blog/2026/bambu-lab-abusing-open-source-social-contract/ 去年我曾说过，可能再也不会推荐任何 Bambu Lab 的打印机了（https://www.youtube.com/watch?v=91kfolYkRNM）。 我仍然在使用我的 P1S，但在 Bambu Lab 开始强制推广其始终在线的云方案作为新默认设置后： - 我通过 OPNsense 防火墙屏蔽了打印机的联网权限 - 我停止了固件更新 - 我把打印机锁定在开发者模式 - 我删除了 Bambu Studio，改用 OrcaSlicer（https://www.orcaslicer.com/） 我必须这样做，才能让打印机保持在我的掌控之下——而不是 Bambu 的。 但我知道自己有点怪——我也承认这一点。我是那种疯狂的家伙之一，喜欢真正拥有自己购买的东西（https://en.wikipedia.org/wiki/Right_to_property），而不是让公司监控我对所付钱买的硬件所做的所有事情。 Bambu Lab 原本可以就此维持现状，我也不会写这篇博文。 但他们没有。 ## 这次又发生了什么？ 背景是：OrcaSlicer（https://www.orcaslicer.com/）是开源项目 Bambu Studio（https://github.com/bambulab/BambuStudio）的一个分支，而 Bambu Studio 又是 Prusa Slicer（https://github.com/prusa3d/PrusaSlicer）的分支，Prusa Slicer 则是 slic3r（https://github.com/Slic3r/Slic3r）的分支。（它们都基于 AGPLv3 开源许可协议（https://github.com/slic3r/Slic3r/blob/master/LICENSE））。 OrcaSlicer 早就不得不绕开 Bambu 那奇怪的默认设置——即你打印的每个文件都会经过 Bambu 的服务器（https://wiki.bambulab.com/en/software/bambu-connect），这意味着他们能看到你在打印机上打印的所有内容。 除非你像我一样：开启开发者模式（https://wiki.bambulab.com/en/knowledge-sharing/enable-developer-mode），然后在旧固件上完全阻断它在互联网上的连接。 有些人确实可以接受使用 OrcaSlicer 并通过 Bambu 的云打印。如果你在外出时想在家里的打印机上开始打印，又不想自己管理 VPN，这确实很方便。 我自己运行 WireGuard VPN，所以我不需要那个功能，但我理解并不是每个人都有资源管理自己的远程访问。 Bambu 发现了一个 OrcaSlicer 的分支，它允许用户无需将打印路径经过 Bambu 的云，就能使用打印机的全部功能——这个分支叫 OrcaSlicer-bambulab（https://github.com/jarczakpawel/OrcaSlicer-bambulab）。然后他们表示：“你知道吗？不行。对于那 0.1% 想要在没有我们 AGPL 许可的 Linux Bambu Studio 代码中那种云传输机制的情况下运行 OrcaSlicer 的高级用户……不行。你们必须使用我们的应用，而且只能用我们的应用。” 于是，他们威胁要对该 OrcaSlicer 分支的开发者采取法律行动，指控那些该开发者并未做过的事情。例如，他们声称该分支实施了冒充攻击，而实际上该分支是逐字使用了 Bambu Studio 的上游代码。 > 这些是非常严重的公开指控。Bambu Lab 之前并没有先私下联系我提出这些具体的公开主张。他们也拒绝了我公布完整通信记录的请求。相反，他们发布了一份单方面的公开声明，而我无法直接回应。实际上，这让我在公众面前看起来像是在绕过安全机制、冒充他们的客户端、并对其基础设施构成风险。我拒绝这种定性。 > —— OrcaSlicer-bambulabs 开发者的回应（https://github.com/jarczakpawel/OrcaSlicer-bambulab/commit/eff25adaaf5ed9906ee7eaeecf3ce64cc8a920d3#diff-b335630551682c19a781afebcf4d07bf978fb1f8ac04c6bf87428ed5106870f5R13-R17） Bambu 正在滥用开源社区协议，并利用其法律力量来压制他们的一小部分用户¹（https://www.jeffgeerling.com/blog/2026/bambu-lab-abusing-open-source-social-contract/#fn:1），天知道是什么原因。 在我看来这很愚蠢，因为什么都不做反而更容易（也更有利可图）²（https://www.jeffgeerling.com/blog/2026/bambu-lab-abusing-open-source-social-contract/#fn:2）。相反，他们却写了一篇博文，指责一位独立的开源开发者（https://blog.bambulab.com/setting-the-record-straight-on-cloud-access-and-community/）导致了他们自己的基础设施和安全问题。 > 这正是问题所在：该修改通过向网络通信中注入伪造的标识元数据来工作。简单来说：它在与我们的服务器通信时假装自己是官方的 Bambu Studio 客户端。 > —— Bambu Lab 博文（https://blog.bambulab.com/setting-the-record-straight-on-cloud-access-and-community/） 我觉得他们根本不懂开源文化。安全方面也不懂——如果唯一的 DDoS 防护手段仅仅是公开的用户代理字符串…… Bambu 没有去解决生态系统问题并构建更安全的平台，反而将像该分支开发者这样忠实的核心用户推到了风口浪尖³（https://www.jeffgeerling.com/blog/2026/bambu-lab-abusing-open-source-social-contract/#fn:3）。 去年局势紧张时，他们写了一篇类似的博文（https://blog.bambulab.com/updates-and-third-party-integration-with-bambu-connect/），将社区的强烈反应归咎于“不幸的误导信息”。我猜他们指的是像我这样的社区成员的猜测——我们对整个软件生态系统和所有权模式在购买后被彻底颠覆感到沮丧。 今年，他们将矛头指向了一个小型切片器分支的开发者，说他可能对整个云基础设施产生潜在影响。 > 这造成了结构性漏洞。如果这种方法被广泛采用或错误配置，数千个客户端可能同时冒充官方客户端访问我们的服务器。我们的系统无法区分流量，因为这些请求看起来完全相同。 > —— Bambu Lab 博文（https://blog.bambulab.com/setting-the-record-straight-on-cloud-access-and-community/） 我喜欢他们这种表述方式——把一个开发者描述成试图冒充他们的应用，而实际上他逐字使用的正是与他们 Linux 应用相同的 AGPL 授权代码（https://github.com/bambulab/BambuStudio/blob/master/src/slic3r/Utils/Http.cpp#L175）。 我觉得这**双重讽刺**，因为早在 2022 年，他们自己的分支就导致 Bambu 用户的遥测数据发到了 Prusa 的服务器上（https://x.com/josefprusa/status/1542259514828791811），而且据我所知，Prusa 并没有发律师函来反击。 他们在博文的剩余部分大谈漏洞、错误和不稳定性——就好像这与开发者在其分支中逐字使用上游代码有什么关系似的。 也许他们可以换一种做法：从一开始就不要把整个生态系统锁死。 但我在开玩笑吗？我无论说什么，下面评论中再多的抱怨，似乎也无法让 Bambu 认识到自己的错误。 不过，多花点钱买另一家公司的打印机，或许就能解决问题了。 Louis Rossmann 发了一段视频，说他会捐赠 10000 美元（https://www.youtube.com/watch?v=qLLVn6XT7v0）来帮助这位开源开发者应对 Bambu 的法律威胁。我也很乐意捐钱，但前提是这位开发者愿意再次把自己置于 Bambu 的枪口之下（https://github.com/jarczakpawel/OrcaSlicer-bambulab/issues/6）。 更好的办法或许就是彻底放弃 Bambu。