BambuStudio vem violando a licença AGPL do PrusaSlicer desde o fork

 (twitter.com/josefprusa)
1 pontos por GN⁺ 3 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • BambuStudio é um fork do PrusaSlicer baseado em AGPL-3.0; embora tenha publicado o código do slicer, é acusado de manter como binário fechado o plugin de rede usado para comunicação com a nuvem
  • Há o argumento de que o plugin fechado é necessário para funcionalidades centrais e não funciona de forma significativa sem o BambuStudio, o que torna difícil evitar as obrigações de obra derivada apenas separando arquivos
  • O blob binário de rede não vem empacotado, sendo baixado em tempo de execução, o que dificulta revisar de forma efetiva a parte real de comunicação com a nuvem apenas com auditoria do código-fonte público
  • A Prusa disse que considerou medidas legais, mas explicou que, por ser software, era difícil bloquear na alfândega, além de haver barreiras práticas para executar isso contra uma empresa chinesa sob jurisdição chinesa
  • A combinação das leis chinesas sobre informação, criptografia, dados e vulnerabilidades com as características dos dados industriais de impressão 3D amplia a discussão para o risco geral das funções de rede de fabricantes chineses

A controvérsia sobre a violação da AGPL pelo BambuStudio

  • Relação entre PrusaSlicer e BambuStudio

    • PrusaSlicer é um fork do Slic3r sob licença AGPL-3.0 e, embora mais de 90% da base de código atual tenha sido escrita pela Prusa, ele mantém a linhagem do Slic3r
    • BambuStudio é um fork do PrusaSlicer, e o ponto central da acusação é que, embora a parte do slicer tenha sido aberta, o plugin de rede que se comunica com a nuvem permaneceu como binário fechado
    • A AGPL-3.0 permite forks e distribuição comercial, mas é uma licença copyleft forte que exige que obras derivadas também permaneçam open source

  • Por que o plugin de rede fechado é um problema

    • É possível argumentar, em defesa, que o plugin é uma obra separada e portanto não estaria sujeito ao copyleft, mas há a contestação de que o BambuStudio não consegue executar funções centrais sem ele, e o plugin também não funciona de forma significativa sem o BambuStudio
    • Se os dois componentes não forem produtos separados que apenas se comunicam por acaso, mas sim uma única estrutura dividida em dois arquivos, fica difícil escapar das obrigações da AGPL
    • Transferir código para além da fronteira de chamadas de função e chamá-lo de obra separada não elimina por si só as obrigações do copyleft
    • O OrcaSlicer, ao fazer fork do BambuStudio, herdou a mesma licença e ficou como um caso de cumprimento das regras de licenciamento

  • Download em tempo de execução e limites de auditoria

    • O blob binário de rede é apontado como algo que não vem embutido dentro do BambuStudio, mas é baixado em tempo de execução
    • Mesmo auditando o código-fonte público do BambuStudio, torna-se difícil revisar de forma significativa a parte que realmente se comunica com a nuvem
    • Esse binário está fora da cadeia pública de fornecimento de software, chega a partir de uma CDN que o usuário não controla e pode ser substituído a cada execução sem revisão prévia externa à Bambu
    • Josef Prusa criticou publicamente essa estrutura em março de 2023 e considera que ela continua a mesma até hoje: x.com/josefprusa/status/1634250522843553797

  • Limites práticos da aplicação legal

    • A Prusa disse que, na época, considerou seriamente medidas legais, mas explicou que o PrusaSlicer era software, não hardware, então não havia um produto em caixa para barrar na alfândega
    • Como o usuário da licença está sob jurisdição chinesa, a possibilidade de isso se tornar um caso em que um tribunal chinês aplicaria a lei chinesa a uma empresa chinesa funcionou como barreira prática
    • Uma licença sem caminho viável de execução se aproxima, na prática, de uma recomendação, e a Bambu acabou mantendo o blob binário de rede
    • Isso também se conecta à situação atual em que ameaças legais continuam sendo dirigidas a pequenos desenvolvedores que tentam abrir essa pequena caixa-preta

  • Como isso foi descoberto inicialmente

    • O PrusaSlicer 2.4 introduziu telemetria anônima opcional e, logo após o lançamento, apareceram no banco de dados entradas marcadas como “BambuSlicer
    • Num momento em que o BambuStudio ainda não era conhecido, uma build interna da Bambu foi configurada por engano para enviar telemetria ao servidor da Prusa, e foi assim que a Prusa descobriu a existência do fork
    • Após o lançamento público, a comunidade passou a exigir que a BambuLab publicasse o código-fonte do BambuStudio para cumprir a licença AGPL: x.com/Bryan_Vines/status/1542530102419939332
    • A Prusa afirmou que, desde o início, sabia da origem e da linhagem desse software: x.com/josefprusa/status/1542259514828791811

Leis chinesas e os riscos dos dados de impressão 3D

  • O ambiente criado por cinco leis e regulamentos

    • Josef Prusa relaciona o problema do binário de rede do BambuStudio ao amplo ambiente jurídico das empresas chinesas e considera que é preciso observar em conjunto cinco leis e regulamentos criados entre 2017 e 2023
    • A Lei Nacional de Inteligência (2017) exige que todas as organizações e cidadãos “apoiem, assistam e cooperem” com atividades de inteligência, e também proíbe divulgar que tal cooperação ocorreu
    • A Lei de Criptografia (2020) coloca a criptografia comercial sob aprovação e revisão do Estado, levando à lógica de que empresas precisariam fornecer chaves de descriptografia ou texto em claro quando solicitado pelas autoridades
    • O artigo 2 da Lei de Segurança de Dados (2021) estabelece alcance extraterritorial para dados relacionados à segurança nacional ou ao interesse público da China, o que sustenta a interpretação de que, mesmo com servidores na UE ou nos EUA, a jurisdição acompanha a empresa
    • A revisão da Lei Antiespionagem (2023) ampliou a definição geral de espionagem para incluir “documentos, dados, materiais e itens” ligados à segurança e aos interesses nacionais, o que pode alcançar também dados industriais
    • O Regulamento sobre vulnerabilidades de segurança de produtos de rede (2021) exige que empresas ou pesquisadores que descubram vulnerabilidades de software reportem isso ao MIIT em até 48 horas, e afirma-se que depois essas informações fluem para a CNNVD operada pelo 13º Bureau do Ministério da Segurança do Estado

  • Por que a impressão 3D é sensível

    • Quando essas cinco leis e regulamentos são lidos em conjunto, a cooperação vira obrigação, a criptografia existe mas as chaves de contingência ficam com os órgãos do Estado, e a jurisdição atravessa fronteiras e acompanha a empresa
    • A impressão 3D teria se tornado uma área estratégica da China em 2020 e, depois, passado a integrar o plano Made in China 2025
    • Impressoras 3D são sensíveis porque costumam estar em departamentos de P&D, salas de prototipagem, fornecedores da indústria de defesa, laboratórios universitários e startups de hardware, ou seja, locais onde nova propriedade intelectual está sendo criada
    • O slicer compartilha os dados e as permissões de acesso que existem no computador do usuário, então ele passa a fazer parte do mesmo fluxo de dados da máquina que está ao lado do objeto que está sendo inventado
    • Josef Prusa não afirma saber o que acontece dentro da Bambu, mas considera que a mesma preocupação vale não só para impressão 3D, como também para câmeras, carros, ferramentas de programação e modelos gratuitos de IA que coletam dados em produtos de fabricantes chineses em geral

Leituras relacionadas

1 comentários

 
GN⁺ 3 시간 전
Comentários do Hacker News

  • É o autor original do post de 13 de maio? Parece ser post duplicado
    https://news.ycombinator.com/item?id=48109224
    https://news.ycombinator.com/item?id=48175820
    https://news.ycombinator.com/item?id=48115127

  • Concordo em grande parte com o Josef quando fala de risco à propriedade intelectual, mas é estranho tratar como se só empresas chinesas fossem o problema
    É verdade que o governo chinês tem leis e mecanismos para obter informações mantidas por empresas do país sob várias justificativas, mas os EUA também, graças ao Cloud Act, podem exigir de grandes provedores nacionais até dados armazenados em servidores fora do território
    Quando mais de 80% das empresas europeias confiam seus dados de trabalho mais sensíveis a Amazon, Microsoft ou Google, não vejo bem qual é a diferença em relação a dados que talvez já estejam vazando
    O mesmo vale para IA, celulares e sistemas de pagamento, então isso parece menos proteção de propriedade intelectual e mais escolher um inimigo específico e fingir que o resto está tudo bem. O fato de ser um texto escrito pelo dono da Prusa Research sobre sua principal concorrente também parece um exemplo disso

    • É frustrante porque a própria Prusa também já não está tão distante assim do caminho da Bambu
      O Prusa-Link só permite controle básico de tarefas e quase não oferece controle do equipamento nem telemetria remota, enquanto os recursos principais ficam atrás da nuvem do PrusaConnect
      A Prusa prometeu por anos abrir isso para que fazendas de impressão pudessem operar offline, mas agora até adicionou plano pago
      Gosto das impressoras da Prusa e todo o meu equipamento é da Prusa, mas eles precisam arrumar a situação do software. Do jeito que está, é difícil distinguir da realidade operacional da Bambu, e para usar todos os recursos da XL é preciso primeiro enviar os arquivos para a República Tcheca
    • Dizer que “fingem que o resto está tudo bem” não é correto
      É razoável apontar o problema sempre que se vê violação da lei ou invasão de privacidade de usuários e empresas, e cada pessoa tende a identificar melhor os problemas na área em que atua
    • Os provedores de nuvem dos EUA estão perdendo muitos clientes por causa do Cloud Act

  • Uso minha impressora para fazer protótipos de negócios, então não tenho a menor intenção de enviar isso pela internet para alguém ficar olhando
    Minha próxima impressora provavelmente será feita em grande parte com peças impressas em 3D, misturando componentes genéricos como controladores de motor, tubos metálicos, sistemas prontos de nivelamento de mesa e software open source
    Para o meu trabalho, só preciso de impressão em uma cor, e, pelo que sei, a impressora mais rápida do planeta também é composta em grande parte por peças impressas em 3D, então basta partir dela e adaptar ao que eu preciso
    Considerei a Bambu, mas descartei depois que entrou no caminho de impedir que eu controlasse um produto que eu possuo. Não gasto dinheiro com empresa que vai nessa direção

    • É meio engraçado ver essa briga ser interpretada como “não quero mandar pela internet para alguém ficar olhando”
      A discussão começou porque alguém recolocou o suporte à Bambu Cloud no OrcaSlicer porque os usuários queriam isso
      As três primeiras linhas do README do fork do Louis Rossmann dizem “restaura suporte completo ao BambuNetwork para impressoras Bambu Lab”, “não é limitado apenas a LAN” e “permite uso normal e impressão via internet pelo BambuNetwork como antes”
      Mas, lendo só os comentários no HN, dá para achar que a Bambu está travando uma guerra para forçar todo mundo a usar serviço em nuvem
    • Você pode projetar ou montar uma por conta própria, mas não precisa necessariamente fazer isso
      Há muitas impressoras 3D offline novas à venda, e, se o objetivo é operar sem conexão, é fácil encontrar uma dessas
      Muitas aceitam gcode comum gerado por ferramentas como o Orca Slicer via cartão SD ou USB, e nem sequer têm recurso de rede embutido
      Se o objetivo também for firmware open source, basta pesquisar antes se dá para instalar um build próprio de Marlin ou Klipper na placa controladora padrão
      A possibilidade de rodar firmware aberto não é rara; é até bastante comum
      Depois é só filtrar pelo preço, desempenho, comunidade e suporte que você quer, montar o equipamento e compilar Marlin ou Klipper. A comunidade de impressão 3D provavelmente também ajuda bastante em todo esse processo
    • O que você está procurando é algo mais próximo de Voron
      São as impressoras das quais a Bambu “se inspirou”, e todas podem ser montadas com peças prontas
      Foi bem divertido montar uma Voron 2.4, e comprar um kit com a fiação já em chicote deixou tudo muito mais fácil
    • Mesmo sendo chinês, existe opção que não fica telefonando para casa
      Uso uma Qidi Q2, que é uma excelente impressora, roda firmware aberto baseado em Klipper+Fluid e fica mais perto de uma Voron com hardware fechado ou de uma X1C com software aberto
      As impressoras da Flashforge também estão em alta ultimamente por causa da impressão com múltiplos bicos, e ouvi dizer que são relativamente abertas
    • Ir de uma Bambu para uma impressora 3D montada por você mesmo talvez nem dê para considerar a mesma categoria de equipamento
      A Bambu sempre focou em fazer aparelhos que você simplesmente liga e usa, e eles funcionam

  • Fico curioso sobre como a BambuLab ou o governo chinês realmente conseguiriam minerar esses dados
    Vejo os modelos 3D como um contínuo entre duas categorias: modelos artísticos e modelos utilitários, e, do lado artístico, isso talvez só resulte numa montanha de miniaturas ocidentais
    Do lado utilitário, também há grande chance de surgir um monte de peças aleatórias sem como saber para que servem
    Claro, como um sapo sendo cozido aos poucos, o próximo passo poderia ser exigir que se anexasse metadados ao modelo antes de imprimir

    • Acho que você está subestimando o quanto empresas usam impressão 3D para prototipagem
      Não existem só usuários hobby que imprimem miniaturas
      Por exemplo, uso um teclado ergonômico sofisticado por causa de RSI, e empresas desse tipo de teclado não vão de uma ideia de projeto direto para um molde caro
      Há muitas iterações de projeto e muitos protótipos, e tudo isso é impresso em 3D
      O mesmo provavelmente vale para umidificadores, drones e praticamente qualquer outro produto
      Se você tem acesso aos STL de todo mundo, então tem acesso a todos os protótipos de projeto e a dados muito próximos dos produtos finais
      É uma estrutura de espionagem industrial em que as empresas entregam os dados voluntariamente porque não querem gastar mais dinheiro com uma fazenda de impressoras Prusa
      Parece uma jogada inteligente do governo chinês, explorando a tendência de preferir economia de curto prazo a estratégia de longo prazo, e o mesmo padrão se repete quando as pessoas compram relógios fitness chineses só porque são baratos
    • Nem tudo que empresas chinesas fazem tem propósito maligno ou agenda oculta do governo chinês
      A realidade é mais banal: muitas empresas chinesas simplesmente não entendem bem as expectativas do open source
      Na China não há muita cultura equivalente, e a mentalidade mais próxima é a de que, se algo foi publicado para poder ser usado, então pode ser aproveitado
      Não é que o conceito de copyright não exista, mas ele não é forte como conceito cultural básico, a ideia de propriedade não recebe tanta atenção, e o relaxamento da coerção legal também ajudou a permitir a rápida inovação chinesa
      Durante décadas, o governo chinês praticamente exigiu de empresas estrangeiras que entravam no país um parceiro local com 51% ou mais e transferência de tecnologia
      Então os detalhes das licenças open source podem não ser bem transmitidos, e eles podem entender os benefícios sem entender bem as obrigações que vêm junto
      No caso da BambuLab, é bem possível que ela só queira controlar a própria plataforma e tenha reagido com surpresa por compreender mal os direitos e expectativas do open source
      Do ponto de vista ocidental isso parece malicioso, mas não necessariamente é maldade; está mais para um tipo de incompatibilidade cultural
      Isso me lembra quando a Naomi Wu visitava outros fabricantes de impressoras 3D em Shenzhen e brigava pelo uso de software GPL sem publicação das modificações. Ela teve bastante dificuldade para fazer as pessoas entenderem as obrigações e vantagens desse tipo de licença
    • Em praticamente toda thread recente sobre a Bambu, parte-se do pressuposto de que essa briga é para recuperar acesso local, mas, na verdade, ela começou como uma tentativa de restaurar o acesso em nuvem do Bambu Network no OrcaSlicer
      As três primeiras linhas do fork FULU do Louis Rossmann também dizem que restauram suporte completo ao BambuNetwork para impressoras Bambu Lab, que não é limitado apenas a LAN e que voltam a oferecer funcionalidade normal e impressão pela internet como antes
      Muita gente sem impressora Bambu entende o contrário, como se os usuários estivessem lutando para não usar os servidores em nuvem da Bambu, e isso deixa o fluxo dos comentários confuso
      Não é que o governo chinês tenha interesse em coletar todos os enfeites que estão sendo impressos, e quem usava impressoras Bambu para fins sensíveis já vinha usando modo LAN ou impressão por cartão SD
      Os usuários que impulsionaram essa briga queriam voltar a enviar os trabalhos para a nuvem por conveniência
    • Se a intenção for realmente extrair algum insight, uma análise automática pode revelar tendências industriais
      Mesmo que no começo só haja alguns vazamentos porque as pessoas deixaram funções de nuvem ativadas por engano, ainda assim dá para descobrir categorias de produto antes do lançamento
      Defesa e aeroespacial talvez sejam menos prováveis, mas, vendo gente usar Strava em lugares absurdos e postar informação militar sigilosa no War Thunder, eu não me surpreenderia se alguém deixasse escapar alguma coisa
      Não seria nada surpreendente se já existisse em algum lugar da China uma análise automática montada para isso
    • Isso é um problema real para a minha empresa e para mim
      Estamos construindo um sistema protótipo de deposição química de vapor em uma área de grande interesse e atividade da China
      Se eu usasse uma Bambu, poderia perder propriedade intelectual exclusiva importante, então escolhi equipamento 3D da Prusa, e não posso correr esse risco

  • Gostei de você postar um link do xcancel em vez de link direto para o X
    Eu tinha esquecido que o xcancel existia, mas agora acho que vou usar de vez em quando

    • Tenho visto com mais frequência links do xcancel voltarem a virar x.com
      Talvez porque o xcancel, como xitter, nitter e os serviços anteriores, também não deva durar muito
      Seria bom se algum serviço de arquivamento implementasse preservação de conteúdo do Twitter
    • Parece ser bem usado no HN
    • Me surpreende que o xcancel ainda funcione
      Achei que todos os servidores nitter já tivessem saído do ar
    • Qual é a vantagem de usar xcancel?
    • Uso https://github.com/johnste/finicky

  • Ficou bem claro que licenças open source são frágeis
    A defesa custa muito dinheiro, e produtos em violação são, por definição, closed source, então é difícil até provar a infração

    • Pelo menos a Software Freedom Conservancy está enfrentando isso
      https://sfconservancy.org/news/2026/may/18/bambu-studio-3d-p...
    • Se levarmos em conta a capacidade de execução, o open source de projetos pequenos e médios está praticamente morto
      É fácil demais reimplementar em outra linguagem ou na mesma e manter uma negativa plausível convincente

  • A impressão 3D ainda é um mercado movido por usuários entusiasmados e aficionados por tecnologia, então é surpreendente o quanto a Bambu está alienando esse público
    Gosto do equipamento da Bambu, e a qualidade e o preço são ótimos, mas ela já não tem mais vantagem em recursos nem em velocidade
    Se dá para comprar quase o mesmo produto da Creality, não vejo por que considerar uma empresa como a Bambu, que é hostil ao usuário

    • Estou querendo comprar uma nova impressora 3D e estava considerando fortemente vários modelos da Bambu
      Não conheço essa controvérsia em detalhe, mas ela está me fazendo olhar outros fornecedores também
      Se esse problema não existisse, eu já teria comprado uma impressora da Bambu; agora estou pesquisando todos os produtos concorrentes
    • A vantagem competitiva da Bambu esteve muito em pensar um pouco mais na usabilidade para o consumidor, gastar uma fortuna em publicidade e, com impressoras CoreXY, ser mais confiável do que o esquema de mesa móvel
      Mas isso não vira fosso competitivo
      Todo mundo já alcançou esse nível, então você pode comprar uma Prusa, ou uma Qidi, ou uma Snapmaker
      A Elegoo Centuri também é uma excelente impressora pelo preço
      Há concorrência demais, e é duvidoso que a Bambu ofereça algo além deles além de ética questionável e atitude ruim
    • Fico curioso se outras marcas baratas já imprimem tão bem quanto a Bambu sem precisar de ajuste
      Migrar de uma antiga Prusa MK3s para uma Bambu P1P+AMS foi um grande upgrade, principalmente pela velocidade, adesão confiável à mesa e troca fácil de material, e isso deixou o hobby muito mais divertido
      Agora me interesso mais em projetar as coisas para imprimir do que em mexer na impressora em si
      Estou acompanhando as polêmicas online, mas ainda não me arrependo da compra
      Se eu imprimisse comercialmente ou em escala, evitaria a Bambu, mas, para um hobbyista com uma ou duas impressoras, essa hostilidade ao usuário ainda não tem grande impacto prático
    • Se alguma empresa consegue se sustentar desse jeito, provavelmente é a Bambu
      Ela é como a Apple do mercado de impressão 3D: a maioria das pessoas não liga, só quer apertar o botão de imprimir e esperar que funcione

  • Não entendo por que dizem que não há caminho de execução
    Se o Josef realmente quisesse pressionar a BambuLab por violação da AGPL, poderia fazer como a indústria da música e do cinema fez e forçar bloqueio no nível do ISP
    Bastaria enviar ordens de cessação para todos os servidores fora da China e bloquear o tráfego no nível do ISP
    Ao contrário de vários sites piratas, não apareceriam centenas de espelhos para ir atrás

  • Com o DeepSeek tornando permanentes os descontos de preço, passamos a ter um dado sobre o quanto a China valoriza acesso a dados
    Hoje, os fornecedores ocidentais que oferecem modelos de pesos abertos custam mais de três vezes o próprio DeepSeek
    Claro, o preço não reflete só o acesso a dados do lado chinês, mas tenho quase certeza de que esse é um dos fatores

  • Tenho dificuldade em concordar com a alegação de que a defesa padrão de que “plugins são obras separadas e, portanto, não estão sujeitas a copyleft” desmorona diante do software real
    Dizem que o BS não consegue fazer o trabalho principal sem o plugin e que o plugin não faz nada sem o BS, mas, na prática, é possível conectar à impressora em modo LAN/dev e imprimir direto do slicer
    Parece haver problemas em configurações de rede mais complexas, mas isso me parece mais exceção do que regra
    Acho válida a preocupação geral, mas ainda não vi jurisprudência ou algo parecido que mostre de forma juridicamente convincente que isso constitui violação de licença, e gostaria de ver se houver algo assim