Bambu Lab 的切片软件 BambuStudio 被指控长期违反其源头 PrusaSlicer 的 AGPL 开源许可证。其核心问题在于,该软件通过一个闭源的、在运行时下载的“网络插件”来实现联网功能,这使得该关键部分无法被外界审计,构成了“黑箱”。进一步地,这一行为被置于一个更宏大的背景下审视:中国在 2017 年至 2023 年间建立的一系列法律框架,涉及国家情报、数据安全和加密等,引发了关于中国制造商处理用户数据、工业信息和软件漏洞时可能存在的安全与合规风险的担忧,尤其是在 3D 打印这种与知识产权和研发紧密相关的领域。
AGPL 许可证违规详情
PrusaSlicer (PS) 使用的是 AGPL-3.0 许可证,这是一种强“版权分享 (copyleft)”许可证。它的核心规则很简单:你可以自由使用、修改和商业化基于此代码的软件,但任何衍生作品也必须保持开源。这是一种“取之于社区,回馈于社区”的社会契约。
- BambuStudio (BS) 是 PrusaSlicer 的一个分支 (fork)。
- 他们公开了切片部分的源代码,但负责与云端通信的网络插件却是闭源的,只是一个二进制“黑箱”。
- 一种常见的辩护是“插件是独立作品,不受许可证约束”。但这种说法站不住脚,因为 BambuStudio 如果没有这个插件就无法执行其核心联网功能,而插件离开 BambuStudio 也毫无用处。它们实际上是一个产品的两个部分,只是为了规避许可证而被分成了两个文件。
AGPL 许可证不允许通过将一部分代码移到函数调用之外,并称之为“独立作品”来规避开源义务。
更关键的一点是,这个网络插件甚至不是打包在软件安装包里的,而是在软件运行时自动从网上下载的。这意味着:
- 你可以审计 BambuStudio 的开源代码,但无法有效审计真正与云端通信的部分。
- 这个插件位于已发布的软件供应链之外,从一个不受你控制的 CDN 获取,并且可以在任何时候被更换,而外部人员根本没有机会提前审查。
更广泛的法律与安全风险
这种闭源行为被认为可能与中国在近年建立的法律框架有关。将这些法律放在一起看,描绘出一个复杂的系统。
- 《国家情报法》(2017): 所有组织和公民必须“支持、协助和配合”国家情报工作,同时法律也禁止披露这种合作。
- 《密码法》(2020): 商业加密算法必须经过国家批准和审查。当有关部门要求时,公司必须提供解密密钥或明文。
- 《数据安全法》(2021): 该法赋予国家对涉及中国国家安全或公共利益的数据拥有域外管辖权。这意味着,即使服务器在欧盟或美国,只要公司是中国公司,法律就适用。
- 《反间谍法》修订 (2023): 间谍行为的定义被扩大到包括“与国家安全和利益有关的文件、数据、资料或物品”,工业数据是其目标之一。
- 《网络产品安全漏洞管理规定》(2021): 任何公司或研究人员发现软件漏洞,必须在 48 小时内向工业和信息化部报告。这些信息随后会流向国家信息安全漏洞共享平台 (CNNVD),该平台由国家安全部的第十三局运营。
这些法律共同描述了一个没有中立出口的系统。合作是强制性的,加密是真实的但备用密钥在政府手中,管辖权可以跨越国界,工业数据也被纳入范围,而发现的漏洞则会流向情报机构。
为什么 3D 打印领域尤其敏感?
在 3D 打印领域,这种风险尤其值得关注,主要有两个原因:
- 战略重要性: 3D 打印在中国“中国制造 2025”计划中被列为战略性技术。因此,相关的工业数据很可能被广泛地定义为符合“国家安全和利益”。
- 接近知识产权: 3D 打印机通常集中在新知识产权 (IP) 的诞生地,例如研发部门、原型车间、国防供应商和大学实验室。打印机就放在正在被发明的物品旁边,而切片软件则与这些敏感数据一起存在于你的电脑上。
违规历史与执法困境
对 BambuStudio 的担忧由来已久。早在其公开发布之前,Prusa 的服务器就收到了来自名为“BambuSlicer”的内部版本的匿名遥测数据,这暴露了其分支的存在。
尽管 BambuStudio 的行为明显违反了 AGPL 许可证,但采取法律行动却面临巨大困难。
- PrusaSlicer 是软件,不是可以被海关扣押的实体产品。
- 案件的管辖权在中国,这意味着需要在中国的法庭上,依据中国的法律,去起诉一家中国公司。
一个没有可行执行路径的许可证,在实践中只是一个建议。
因此,Bambu Lab 的行为得以持续。他们的网络插件继续作为一个不透明的黑箱运行,而其具体功能和目的则无人知晓。