BambuStudioはフォーク後、PrusaSlicerのAGPLライセンスに違反し続けてきた

 (twitter.com/josefprusa)
1 ポイント 投稿者 GN⁺ 3 시간 전 | 1件のコメント | WhatsAppで共有
  • BambuStudio は AGPL-3.0 ベースの PrusaSlicer フォークで、スライサーのコードは公開したものの、クラウド通信用のネットワークプラグインはクローズドなバイナリのまま残したとの疑いがある
  • クローズドなプラグインは 中核機能 に必要であり、BambuStudio なしでは意味のある動作ができないため、ファイルを分離しただけでは派生著作物としての義務を回避しにくいという論点がある
  • ネットワークのバイナリブロブはバンドルされず、実行時にダウンロード されるため、公開ソースの監査だけでは実際のクラウド通信部分を十分に確認しにくい
  • Prusa 側は法的措置を検討したが、ソフトウェアであるため通関で差し止めることが難しく、中国の管轄で中国企業に対して執行しなければならないという現実的な障壁があったと説明している
  • 中国の情報・暗号・データ・脆弱性に関する法制度と 3Dプリンティング の産業データという特性が結びつき、中国メーカーのネットワーク機能全般のリスクへと議論が広がっている

BambuStudioのAGPL違反をめぐる争点

  • PrusaSlicerとBambuStudioの関係

    • PrusaSlicer は AGPL-3.0 ライセンスを適用した Slic3r のフォークであり、現在のコードベースの 90% 以上は Prusa 側が書いたものだが、Slic3r の系譜を維持している
    • BambuStudio は PrusaSlicer のフォークで、スライサー部分は公開した一方、クラウドと通信するネットワークプラグインはクローズドなバイナリのまま残したという疑いが核心である
    • AGPL-3.0 はフォークと商用配布を認めるが、派生著作物もオープンソースのまま維持しなければならない強いコピーレフトライセンスである

  • クローズドなネットワークプラグインが問題となる理由

    • プラグインは別個の著作物でありコピーレフトの対象ではない、という防御論は可能だが、BambuStudio はプラグインなしでは中核機能を果たせず、プラグインも BambuStudio なしでは意味のある動作ができないという反論がある
    • 両コンポーネントが偶然通信する別製品ではなく、1つの製品を2つのファイルに分けた構造であるなら、AGPL上の義務を回避することは難しくなる
    • 関数呼び出しの境界 の向こうへコードを移し、別著作物と呼ぶだけでは、コピーレフトの義務は消えない
    • OrcaSlicer は BambuStudio をフォークする際に同じライセンスを継承しており、ライセンス規則に従った事例として残っている

  • 実行時ダウンロードと監査の限界

    • ネットワークのバイナリブロブは BambuStudio 内部にバンドルされず、実行時にダウンロード される構造だと指摘されている
    • 公開された BambuStudio のソースコードを監査しても、実際にクラウドと通信する部分は十分に検証しにくい
    • 当該バイナリは公開されたソフトウェアサプライチェーンの外にあり、ユーザーが制御しない CDN から届き、実行のたびに Bambu 以外の事前審査なしで置き換えられる可能性がある
    • Josef Prusa はこの構造を 2023年3月に公に問題視しており、同じ構造が現在も維持されているとみている: x.com/josefprusa/status/1634250522843553797

  • 法的執行の現実的な限界

    • Prusa 側は当時、法的措置を真剣に検討したが、PrusaSlicer はハードウェアではなくソフトウェアであるため、通関で止められる箱入り製品がなかったと説明している
    • ライセンス利用者の管轄が中国にあるため、中国の裁判所が中国企業に中国法を適用する事件になる可能性が、現実的な障壁として作用した
    • 執行経路のないライセンスは実務上、勧告に近いものとなり、Bambu は結果的にネットワークのバイナリブロブを維持し続けた
    • 現在、小さなブラックボックスを開こうとする小規模開発者に法的脅しが続いている状況ともつながっている

  • 初期の発見経緯

    • PrusaSlicer 2.4 は選択式の匿名テレメトリを導入し、リリース直後にデータベースへ「BambuSlicer」と表示された項目が現れた
    • BambuStudio をまだ知らなかった時点で、Bambu の内部ビルドが誤って Prusa サーバーへテレメトリを送る設定になっていたため、Prusa 側はフォークの存在を知ることになった
    • 公開リリース後、コミュニティは AGPL ライセンス順守のため BambuLab に BambuStudio のソース公開を求めた: x.com/Bryan_Vines/status/1542530102419939332
    • Prusa 側は、このソフトウェアの出自と系譜を最初から把握していたと述べている: x.com/josefprusa/status/1542259514828791811

中国の法制度と3Dプリンティングのデータリスク

  • 5つの法律・規定が作る環境

    • Josef Prusa は BambuStudio のネットワークバイナリ問題を、中国企業を取り巻く広範な法的環境と結び付けており、2017年から2023年にかけて作られた5つの法律・規定を合わせて見る必要があるとしている
    • 国家情報法(2017) は、すべての組織と市民に対し、情報活動を「支援・協助・協力」することを要求し、そのような協力があった事実の公開も禁じている
    • 暗号法(2020) は、商用暗号を国家の承認と審査の対象とし、当局の要請があれば企業が復号鍵や平文を提供しなければならないという論理につながる
    • データ安全法(2021) 第2条は、中国の国家安全や公共利益に関連するデータについて域外適用の範囲を設けており、サーバーが EU や米国にあっても、管轄は企業に従うという解釈が示されている
    • 反スパイ法改正(2023) は、スパイ行為の一般定義を国家安全と利益に関する「文書、データ、資料、物品」にまで広げており、産業データも対象に入り得る
    • ネットワーク製品セキュリティ脆弱性規定(2021) は、ソフトウェア脆弱性を発見した企業や研究者に対し、48時間以内に MIIT へ報告することを求めており、その後の情報は国家安全部第13局が運営する CNNVD へ流れるとされる

  • 3Dプリンティングが敏感な理由

    • これら5つの法律・規定を合わせて見ると、協力は義務であり、暗号化は存在しても予備鍵は省庁側にあり、管轄は国境を越えて企業に従う構造になる
    • 3Dプリンティングは 2020年に中国の戦略分野となり、その後 Made in China 2025 計画に組み込まれたとされる
    • 3Dプリンターは、R&D 部門、試作室、防衛産業のサプライヤー、大学研究室、ハードウェアスタートアップのように、新しい知的財産が生まれる場所に置かれる点で敏感である
    • スライサー は、ユーザーのコンピューター上で、ユーザーが持つデータやアクセス権を共有するため、発明対象のすぐ隣にある機械と同じデータフロー上に置かれる
    • Josef Prusa は、Bambu の内部で何が起きているかを知っていると断定しているわけではないが、同じ問題意識は 3Dプリンティングに限らず、カメラ、自動車、コーディングツール内でデータを収集する無料の AI モデルなど、中国メーカー全般にも当てはまるとみている

関連記事

1件のコメント

 
GN⁺ 3 시간 전
Hacker News の意見

  • 5月13日の記事の原投稿者なのか? 重複投稿に見える
    https://news.ycombinator.com/item?id=48109224
    https://news.ycombinator.com/item?id=48175820
    https://news.ycombinator.com/item?id=48115127

  • Josef が 知的財産リスクについて語った点には概ね同意するが、中国企業だけが問題であるかのように見るのは奇妙だ
    中国政府にはさまざまな名目で国内企業の保有情報を取得できる法律や仕組みがあるのは事実だが、米国も Cloud Act によって自国の大手事業者に対し、国外サーバー上のデータまで要求できる
    欧州企業の80%以上が Amazon、Microsoft、Google のいずれかに最も機密性の高い業務データを預けている状況では、すでに漏れているかもしれないデータと何が違うのか分からない
    AI、携帯電話、決済システムも同じで、知的財産の保護というより、敵を一つ決めてそれ以外は問題ないふりをしているように感じる。Prusa Research のオーナーが主な競合相手を念頭に置いて書いた文章という点も、その一例に見える

    • Prusa も今では Bambu のやり方からそれほど遠くなく、もどかしい
      Prusa-Link は基本的なジョブ制御しかできず、機器制御やテレメトリはほとんどなく、主要機能は PrusaConnect クラウドの背後にある
      Prusa は何年も、プリントファームがオフラインで運用できるようオープンソース化すると約束してきたが、今では有料プランまで追加している
      Prusa のプリンターは好きで、手元の機材もすべて Prusa だが、ソフトウェアの状況は整理する必要がある。今の形では Bambu の運用実態と区別しにくく、XL の全機能を使うにはまずファイルをチェコへ送らなければならない
    • 「それ以外は問題ないふりをしている」というのは正しくない
      法令違反や、ユーザー・企業の プライバシー侵害 が見えたときにその都度問題視するのは合理的であり、人はそれぞれ自分が活動する分野で問題を最も見つけやすい
    • Cloud Act のせいで、米国のクラウド事業者は顧客を大量に失っている

  • 私のプリンターは業務用の 試作 を作るために使っているので、インターネット経由で送って誰かに覗かせるつもりはまったくない
    次のプリンターは、3Dプリント部品を大半にしつつ、モーターコントローラーや金属チューブ、既製のベッドレベリングシステム、オープンソースソフトウェアのような汎用部品を組み合わせることになりそうだ
    仕事では単色出力しか必要なく、私の知る限り地球上で最速のプリンターも大半が3Dプリント部品でできているので、それをベースに自分の必要に合わせて改造すればよい
    Bambu も検討したが、自分が所有する製品を自分で制御できなくなる道に入った時点で候補から外した。そういう方向性の会社には金を払わない

    • 「インターネット経由で送って誰かに覗かせるつもりはない」というふうにこの争いが解釈されるのは少し滑稽だ
      この論争は、ユーザーが望んだからこそ誰かが OrcaSlicer に Bambu Cloud 対応を再び入れたことから始まっている
      Louis Rossmann のフォーク版 README の冒頭3行も、「Bambu Lab プリンター向け BambuNetwork の完全対応を復元」「LAN 専用に制限されない」「以前のように BambuNetwork 経由でインターネットから通常利用と印刷が可能」となっている
      なのに HN のコメントだけ読むと、Bambu が全員にクラウドサービスの利用を強制しようとしている争いのように見えてしまう
    • 自分で設計・製作してもよいが、必ずそうする必要はない
      世の中には今でも新品で買える オフライン3Dプリンター が非常に多く、非接続での運用が目的なら、そうしたプリンターを探すのは簡単だ
      かなりの数が Orca Slicer のようなツールで生成した通常の gcode を SDカードや USB で受け付け、内蔵ネットワーク機能自体を持たない
      オープンソースファームウェアも目標なら、まずは標準コントローラーボードに自前でビルドした Marlin や Klipper を載せられるか調べればよい
      オープンファームウェアを動かせるかどうかは珍しい条件ではなく、かなり一般的だ
      望む価格、性能、コミュニティ、サポート条件で絞り込んで選び、その後で機材を組み、Marlin か Klipper をビルドすればよい。3Dプリンティングのコミュニティがこの過程全体を助けてくれる可能性も高い
    • 探しているのは Voron に近いものだ
      Bambu が「着想を得た」プリンター群で、どれも既製部品だけで作れる
      Voron 2.4 を組み立てるのはかなり楽しかったし、配線があらかじめハーネス化されたキットを買ったのでずっと簡単だった
    • 中国製ではあっても、自宅に電話しない選択肢はある
      Qidi Q2 を使っているが、素晴らしいプリンターで、Klipper+Fluid ベースのオープンファームウェアを動かし、クローズドハードウェアの Voron、あるいはオープンソフトウェアの X1C に近い
      Flashforge のプリンターもマルチノズル印刷で最近人気があり、かなりオープンだと聞いている
    • Bambu から自作3Dプリンターへ行くのは、同じカテゴリの機材とすら言いにくい
      Bambu は、ただ接続して使えば動く機器を作ることに注力してきた

  • BambuLab や中国政府が、そのデータを実際にどうやって採掘できるのか気になる
    3Dモデルは芸術的なモデルと実用的なモデルという二つのカテゴリの間の連続体だと思うが、芸術寄りなら西側のミニチュアが山ほど積み上がるだけかもしれない
    実用寄りでも、何に使うのか分からないランダムな部品が大量に生まれる可能性が高い
    もちろん、ゆでガエルのように次の段階として、印刷前にモデルへ メタデータ を付けるよう要求してくるかもしれない

    • 企業が 試作製作 に 3Dプリンティングをどれだけ使っているかを過小評価している気がする
      ミニチュアを印刷する趣味ユーザーだけがいるわけではない
      たとえば RSI のために高級なエルゴノミクスキーボードを使っているが、この種のキーボード企業は設計アイデアからいきなり高価な金型には進まない
      設計の反復と試作が数多くあり、すべて 3Dプリントされる
      加湿器、ドローン、その他どんな製品でも同様である可能性が高い
      すべての STL にアクセスできるなら、あらゆる設計試作品と最終製品に近いデータへアクセスできることになる
      企業が Prusa のプリントファームにもっと金を使いたくないために、自発的にデータを渡してしまう 産業スパイ のような構図だ
      短期的な節約を長期戦略より優先しがちな傾向を利用する、中国政府の賢い一手に見えるし、中国製フィットネスウォッチを安いという理由で買うことにまで同じパターンが繰り返されている
    • 中国企業のすることすべてが邪悪な目的や中国政府の隠れた意図によるわけではない
      現実はもっと平凡で、多くの中国企業は オープンソースの期待値 をよく理解していない
      中国には正確に対応する文化があまりなく、最も近い考え方は、使えるよう公開されているものは持ってきて使ってよい、というものだ
      著作権という概念がまったくないわけではないが、基本的な文化概念としては強くなく、所有権をあまり気にしないこと、法的強制が緩いことが、中国の急速なイノベーションを可能にした面もある
      中国政府は何十年にもわたり、中国に進出する外国企業に対して、現地パートナーが51%以上を持つことや技術移転を事実上義務づけてきた
      そのためオープンソースライセンスの細かい規則がうまく伝わっておらず、恩恵は理解していても、その恩恵に伴う義務はよく分かっていないことがある
      BambuLab の場合、自社プラットフォームを統制したいだけであり、オープンソースの権利と期待を誤解していたために反発に戸惑った可能性が高い
      西側の観点では悪意あるものに見えるが、必ずしも悪質とまでは言えず、一種の文化的インピーダンスミスマッチに近い
      以前、Naomi Wu が Shenzhen の他の3Dプリンターメーカーを回り、GPL ソフトウェアを使いながら改変版を公開しない問題で争っていたことを思い出す。こうしたライセンスが課す義務と利点を理解してもらうのにかなり苦労していた
    • 最近の Bambu 関連スレッドでは毎回、この争いがローカルアクセス権を取り戻すためのものだと想定されているが、実際の発端は OrcaSlicer に Bambu Network のクラウドアクセスを復活させようとする動きだった
      Louis Rossmann の FULU フォークの冒頭3行も、Bambu Lab プリンター向け BambuNetwork の完全対応を復元し、LAN 専用の制限ではなく、以前のようにインターネット経由で通常機能と印刷をサポートすると書かれている
      Bambu プリンターを持っていない多くの人が、ユーザーが Bambu クラウドサーバーを使わないために戦っているのだと逆に理解しており、コメントの流れが混乱している
      中国政府が印刷される装飾品を片っ端から集めることに関心があるわけではなく、機微な用途で Bambu プリンターを使う人はすでに LAN モードや SDカード印刷を使っていた
      この争いを推進していたユーザーたちは、利便性のために再びクラウドへ印刷データを送りたがっていた
    • 本当に洞察を引き出そうとするなら、自動分析で 産業トレンド を見ることはできる
      初期段階では、人々がうっかりクラウド機能を有効にしたままにしていただけでも一部は漏れうるし、公開前に製品カテゴリを把握できるかもしれない
      国防・航空宇宙は可能性が低いとしても、人々が妙な場所で Strava を使ったり、War Thunder に機密の防衛情報を投稿したりするのを見ると、誰かが何かを漏らしても驚かない
      中国のどこかでこうした自動分析が構築されていても不思議ではない
    • これは私たちの会社と私にとって実際の問題だ
      中国の関心と活動が強い分野で 化学気相成長試作システム を作っている
      Bambu を使えば重要な独自の知的財産を失う可能性があるので、Prusa の3D機材を選んだし、そのようなリスクは負えない

  • X へ直接リンクせず xcancel リンク を貼ってくれていてよい
    xcancel があるのを忘れていたが、これからは時々使うかもしれない

    • xcancel リンクが x.com に戻されることが以前よりよく起きる
      xcancel も xitter、nitter、その前のサービスたちのように長くは持たない可能性があるので、そのせいだろう
      アーカイブサービスが Twitter コンテンツの保存を実装してくれるとよいのだが
    • HN ではかなり広く使われているように見える
    • xcancel がまだ動いていることに驚く
      すべての nitter サーバー が落ちたのかと思っていた
    • xcancel を使う利点は何?
    • https://github.com/johnste/finicky を使っている

  • オープンソースライセンス が脆弱だということは、かなり明らかになってきた
    防御には大金がかかり、違反製品は定義上クローズドソースなので、違反の立証自体も難しい

    • Software Freedom Conservancy が少なくとも対抗している
      https://sfconservancy.org/news/2026/may/18/bambu-studio-3d-p...
    • 執行まで考えると、中小規模プロジェクトのオープンソースは死んだも同然だ
      同じ言語でも別の言語でも再実装して、もっともらしい否認可能性を確保するのがあまりに簡単すぎる

  • 3Dプリンティングは今でも熱心なユーザーと技術愛好家が牽引する市場だが、Bambu がその市場を遠ざけるやり方は驚くほどだ
    Bambu の機材は気に入っているし、品質と価格も素晴らしいが、機能や速度の面でこれ以上優位ではない
    Creality でもほぼ同じ製品が買えるなら、なぜユーザーに敵対的な Bambu のような会社を検討しなければならないのか分からない

    • 新しい3Dプリンターを買おうとしていて、Bambu の複数モデルを強く検討していた
      この論争について詳しく知っているわけではないが、他社も見る気にさせられている
      こうした問題がなければすでに Bambu のプリンターを買っていたはずだが、今は 競合製品 をすべて調べている
    • Bambu の堀は、消費者向けの使いやすさをもう少し考えていたこと、広告に莫大な金を投じたこと、そして CoreXY プリンターによりベッドが動く方式より信頼性が高かったことにほぼ尽きる
      だがそれは にはならない
      皆が追いついたので、Prusa を買ってもよいし、Qidi や Snapmaker でもよい
      Elegoo Centuri も価格に対して素晴らしいプリンターだ
      競争相手は非常に多く、Bambu が彼ら以上に提供しているのは、疑わしい倫理と悪い態度くらいに思える
    • 他の低価格ブランドも調整なしで Bambu と同じくらいうまく印刷できるのか気になる
      古い Prusa MK3s から Bambu P1P+AMS に移ったのは大きなアップグレードで、主に速度、安定したベッド定着、簡単な素材交換のおかげで、印刷という趣味がずっと楽しくなった
      今ではプリンター自体をいじるより、印刷する物を設計することに関心がある
      オンライン上の論争は追っているが、まだ購入を後悔してはいない
      商用または大規模に印刷するなら Bambu を避けるだろうが、プリンターを1〜2台持つ趣味ユーザーにとっては、ユーザー敵対性が現実的に大きな影響を及ぼしているわけではない
    • こういうやり方で持ちこたえられるとしたら Bambu だと思う
      3Dプリンティング市場の Apple のような存在で、大半の人は気にせず、ただ印刷ボタンを押してうまくいくことを期待する

  • 執行の道筋がないというのが理解できない
    Josef が本当に AGPL 違反 で BambuLab に圧力をかけたいなら、音楽業界や映画業界がやったように ISP レベルで遮断させればよい
    中国国外のすべてのサーバーに停止命令を送り、ISP レベルでトラフィックを遮断すればよい
    多くの海賊版サイトと違って、追いかけなければならないコピーサイトが何百も生まれることもないだろう

  • DeepSeek が値下げを恒久化したことで、中国が データアクセス権 にある程度の価値を置いていると見られる材料が出てきた
    現在オープンウェイトモデルを提供している西側企業は、DeepSeek 自体より3倍以上高い
    もちろん、中国側のデータアクセス権だけが価格に反映されているわけではないだろうが、その一要素であることはほぼ確実だと思う

  • 「プラグインは別個の著作物だからコピーレフトの対象ではない」という標準的な防御論が、実際のソフトウェアを前に崩れるという主張には同意しがたい
    BS はプラグインなしでは中核機能を果たせず、プラグインも BS なしでは何もできないと言うが、実際には LAN/dev モード でプリンターに接続し、スライサーから直接印刷できる
    より複雑なネットワーク構成では問題があるようだが、それは例外に近く見える
    全体的な懸念は妥当だと思うが、これがライセンス違反だと法的観点から説得力をもって示す判例のようなものはまだ見ておらず、そうした根拠があるなら見てみたい