Bambu Lab está abusando del contrato social del software de código abierto

 (jeffgeerling.com)
2 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Jeff Geerling sigue usando su P1S, pero después de que Bambu Lab empezara a impulsar como valor predeterminado una nube siempre conectada, bloqueó el acceso a Internet de la impresora y se cambió a OrcaSlicer
  • OrcaSlicer es un fork en una línea AGPLv3 que viene de Bambu Studio, Prusa Slicer y slic3r, y permite usar la impresora sin la nube de Bambu
  • Bambu Lab cuestionó el fork OrcaSlicer-bambulab, diciendo que se hacía pasar por el cliente oficial, y amenazó al desarrollador con acciones legales
  • Geerling critica que ese fork solo usó el mismo código AGPL que la app de Linux de Bambu, y cuestiona que se trate el user-agent como una pieza central de seguridad
  • Como Bambu Lab ya había tenido antes un caso en el que su propio fork enviaba telemetría a servidores de Prusa, resulta irónico que ahora cuestione el método de identificación de otros forks

Recuperar el control para poder seguir usando una impresora de Bambu Lab

  • Jeff Geerling sigue usando su P1S incluso después de que Bambu Lab empezara a impulsar como nuevo valor predeterminado una solución en la nube siempre conectada
  • Para mantener la impresora bajo su propio control, bloqueó el acceso a Internet con OPNsense Firewall, dejó de actualizar el firmware, la fijó en Developer mode, desinstaló Bambu Studio y usa OrcaSlicer
  • Si Bambu Lab hubiera permitido mantener intacta la forma anterior de usarla, el conflicto probablemente no habría escalado tanto, pero su respuesta posterior terminó ampliando el problema hacia el ecosistema open source y el control del usuario

La genealogía open source de OrcaSlicer y Bambu Studio

El conflicto alrededor del fork OrcaSlicer-bambulab

  • Bambu Lab apuntó contra el fork OrcaSlicer-bambulab, que permitía usar las funciones de la impresora sin el mecanismo de retransmisión de la nube de Bambu
  • Ese fork estaba pensado para un pequeño grupo de usuarios avanzados que querían usar OrcaSlicer sin el mecanismo de retransmisión en la nube, del mismo modo que el código Linux con licencia AGPL de Bambu Studio
  • Bambu Lab amenazó al desarrollador del fork con acciones legales y planteó el caso como un ataque de suplantación, aunque el fork usaba código upstream de Bambu Studio
  • Según la respuesta del desarrollador de OrcaSlicer-bambulab, Bambu Lab no le comunicó primero los detalles concretos antes de hacer sus declaraciones públicas y también rechazó la solicitud de publicar la carta completa
  • El desarrollador rechaza quedar retratado públicamente como alguien que creó una evasión de seguridad, una suplantación de cliente o un riesgo para la infraestructura

La postura pública de Bambu Lab y las refutaciones

  • En una entrada oficial del blog, Bambu Lab afirmó que la modificación en cuestión inyectaba metadatos de identidad falsos en la comunicación de red para hablar con el servidor como si fuera el cliente oficial de Bambu Studio
  • Bambu Lab dijo que, si este método se adoptaba ampliamente o se configuraba mal, miles de clientes podrían hacerse pasar por el cliente oficial y golpear al servidor al mismo tiempo, y que como las solicitudes se verían iguales, el sistema no podría distinguir el tráfico
  • Geerling responde que esa afirmación hace parecer que el desarrollador intentó hacerse pasar por la app de Bambu, cuando en realidad solo usó el mismo código con licencia AGPL que usa la app de Linux de Bambu
  • También critica que, si una cadena pública de user-agent es el mecanismo de protección clave para defenderse de un DDoS, entonces la comprensión de seguridad de Bambu Lab queda en entredicho
  • En el resto de la entrada del blog, Bambu Lab habló de vulnerabilidades, bugs e inestabilidad, pero cuesta vincularlo de forma directa con el caso de un desarrollador de fork que usó código upstream sin cambios

Un patrón repetido en la respuesta a la comunidad

  • Cuando ya había tensiones el año anterior, Bambu Lab también había atribuido la reacción de la comunidad a una “desafortunada desinformación” en una entrada del blog sobre Bambu Connect e integraciones de terceros
  • En ese momento, los usuarios estaban frustrados porque después de comprar el producto se alteró por completo el ecosistema de software y el modelo de propiedad, y eso ayuda a explicar por qué crecieron las especulaciones y el rechazo
  • Esta vez, Bambu Lab termina vinculando a un solo desarrollador de un pequeño fork de slicer con el impacto potencial sobre toda su infraestructura en la nube
  • Geerling critica que, en lugar de resolver los problemas del ecosistema y construir una plataforma más segura, Bambu Lab esté presionando públicamente a usuarios avanzados y entusiastas como el desarrollador de ese fork

Ironía y antecedentes

  • En 2022, el propio fork de Bambu Lab provocó que la telemetría de usuarios de Bambu se enviara a servidores de Prusa, algo que Josef Prusa mencionó en X
  • Hasta donde sabe Geerling, Prusa no respondió a ese caso con una carta de cese y desistimiento (C&D)
  • Ese antecedente hace todavía más irónica la situación en la que Bambu Lab ahora cuestiona duramente el método de identificación de red y el riesgo de infraestructura de otro desarrollador de fork

Una posible respuesta mejor y las opciones que quedan

  • Bambu Lab podría haber elegido desde el inicio un enfoque que no cerrara todo el ecosistema
  • El fork en cuestión parece no haber tenido mucho uso fuera de un grupo muy pequeño antes de la carta de cese y desistimiento de Bambu Lab
  • Aun así, sí puede haber una base razonable para pedir que se quite “bambulabs” del nombre del fork por motivos relacionados con la marca
  • El desarrollador del fork ya había ayudado antes con problemas de Linux y Wayland para usuarios de Bambu Studio, incluso en el GitHub de Bambu Lab, y ahora queda públicamente retratado como si fuera un riesgo para la infraestructura de Bambu
  • Louis Rossmann publicó un video en el que dijo que pondría $10,000 para ayudar a desarrolladores open source a enfrentar las amenazas legales de Bambu, pero eso solo sirve si el desarrollador quiere volver a convertirse en objetivo de Bambu
  • Geerling cree que puede ser más efectivo simplemente saltarse los productos de Bambu y gastar un poco más en impresoras de otras empresas

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Comentarios en Hacker News

  • He usado Bambu, pero nunca tuve una, y no me gustaba la idea de una impresora 3D de ecosistema cerrado
    Si buscas alternativas, Bambu es probablemente lo más cercano a una experiencia de “simplemente funciona”, pero hoy en día otras impresoras ya no son tan difíciles como antes
    La alternativa más fácil probablemente sea Prusa; cuesta mucho más que Bambu, pero en términos de apertura es casi lo opuesto y es una gran empresa, así que la recomiendo si el dinero no es problema
    Fuera de eso, la lista de https://auroratechchannel.com/#section2 está bastante bien
    En lo personal uso una vieja Elegoo Neptune 4 Pro, pero si comprara ahora, probablemente vería la Snapmaker U1 o la Creality K2 Plus

    • Prusa hoy en día es casi plug and play, especialmente la línea Core One
      Es cara, pero obtienes soporte humano 24 horas, una plataforma abierta y contribuciones al open source, y además Bambu Studio es un fork de Prusa Slicer
      Mi Core One+ originalmente empezó como una MK3 y la he ido actualizando; hasta hoy sigue funcionando como nueva, y estoy esperando la actualización INDX
      Eso sí, el gran punto débil de las Prusa para consumo es la falta de calefacción de cámara para materiales avanzados. En verano puedo imprimir PC con la cámara a 45℃ en mi Core One+, pero en invierno se vuelve mucho más difícil
      Dicen que la Core One L mejora en eso, aunque también he visto reportes de que todavía no es ideal; fuera de eso, siento que el costo extra se recupera a largo plazo
    • Prusa sigue siendo probablemente la opción más cercana al open source, pero ya no diría que es el completo opuesto de Bambu
      Desde 2023 mostró señales de querer impedir la comercialización de sus diseños y también dejó de compartir el código fuente y los archivos de diseño de las PCB
      En 2025 cambió la “open community license” para dejar claro que no se pueden vender máquinas terminadas ni remixes basados en esos archivos sin un acuerdo aparte, y que los archivos de diseño no pueden usarse comercialmente
      https://blog.prusa3d.com/core-one-cad-files-release-under-th...
      Quizá sea un ejemplo de cómo el open source ha tenido que cambiar cuando empresas con I+D dejan vulnerabilidades en licencias tradicionales que luego se explotan comercialmente
    • Aun así, si compras una Bambu, desaconsejo fuertemente la H2D
      Durante un tiempo “simplemente funcionó”, pero el problema vino cuando se descompuso el ventilador de enfriamiento de impresión. En mi Voron eso sería un arreglo de 5 minutos; en la H2D hay que hacer algo como esto [0]
      Básicamente hay que desmontar todo el toolhead y sacar la placa principal interna, manipulando más de 11 cables planos personalizados, muy pequeños y frágiles, además de 5 conexiones a la placa superior
      Incluso reparaciones pequeñas suelen ser así, y cuando se atascó el filamento también tuve que desarmar por completo el frente del toolhead y manipular una flex PCB todavía más pequeña y delicada
      [0] https://wiki.bambulab.com/en/h2/maintenance/replace-cooling-...
    • No sé si Bambu realmente sea más fácil que Prusa
      Compré una Prusa Core One sin saber absolutamente nada de impresión 3D, la conecté a la corriente, puse el filamento incluido y con unos pocos clics siguiendo el manual de 10 páginas saqué mi primera impresión
      No necesité internet, wifi, registro ni app
      Después instalé la app open source que está en GitHub y empecé a usar el servicio de “nube”; aunque soy bastante torpe para esas cosas, fue de lo más fácil que he hecho en los últimos 10 años
      Es muy cara, pero al menos es algo que me pertenece
    • No es del todo exacto decir que Prusa es el opuesto de Bambu en apertura. Hay impresoras totalmente abiertas aparte, y se me vienen a la mente Voron y RatRig
      Prusa cambió bastante sus estándares éticos después de “crecer”
      [0]: https://blog.prusa3d.com/the-state-of-open-source-in-3d-prin...

  • La redacción del blog de Bambu Lab es bastante absurda
    Básicamente dice algo como que “el aumento del tráfico no autorizado sobrecargó los servidores y causó interrupciones del servicio para todos, y el costo fue la inestabilidad que sintieron todos los usuarios”; suena a que, como sus impresoras son populares y no pueden escalar la infraestructura, van a bloquearlo todo con la cadena de User-Agent
    Es una excusa tan rara que cuesta creerla

    • “Obligaron a todos los usuarios de impresoras del mundo a interactuar con sus impresoras pasando por un servidor central. Como resultado, hubo interrupciones del servicio para todos, y el costo fue la inestabilidad que sintieron todos los usuarios.”
      Así queda mejor. Bambu puede usarlo bajo Creative Commons
    • Parece que el mal diseño fue hacer que el slicer se comunicara con la impresora solo a través de la nube, y cualquier problema entonces se convierte en “inestabilidad que sienten todos los usuarios”
    • ¿De verdad incluso los clientes legítimos tienen que usar ese servidor? ¿No había forma de evitar un cuello de botella para todos? Esto roza la farsa
    • ¿Entiendo bien que este “tráfico no autorizado” al final eran clientes usando su propio producto?
    • Si es un tema de seguridad, quizá sí sea un tema de seguridad: https://github.com/bambulab/BambuStudio/issues/10681

  • Da risa lo rápido que la gente olvida. El modo LAN no estaba en el plan original; solo lo agregaron después de que estalló una reacción similar la vez pasada
    Luego cambiaron de rumbo y también editaron la publicación del blog. Como clientes, presionar sí cambia la dirección de una empresa

    • En teoría sí, pero hay muchos contraejemplos
      HP sigue usando tinta con DRM, Keurig sigue intentando impedir el “hackeo” y OpenAI decía que iba a liberar sus modelos como open source
      No digo que no haya que criticar a las empresas que no cumplen, pero la indignación sola no basta. Si realmente violaron una licencia, una demanda o incluso la posibilidad de una demanda podría ser efectiva
    • El modo LAN no reemplaza las funciones con las que venía la impresora cuando la compraste
      Lo que más molesta es que ahora ya no puedes interactuar con la impresora desde OrcaSlicer, sincronizar filamento ni iniciar impresiones en remoto
      Hay gente que tiene la impresora en un taller remoto y no justo al lado, así que las opciones “LAN” o “desarrollador” no sirven tanto, sobre todo si además te obligan a elegir entre eso y la nube

  • Decir que “fingía ser un cliente oficial” no es una lógica de seguridad si esa forma dependía de metadatos que el cliente envía
    Eso no es suplantación; Bambu simplemente descubrió que User-Agent no es autenticación

    • Si usaron AGPL, entonces concedieron una licencia para usar el código como se quisiera, así que no pueden llamarlo “acceso no autorizado”
    • Si esto causó interrupciones del servicio, tal vez apenas estén aprendiendo qué es un gateway
      Echarle la culpa al cliente no tiene absolutamente ningún sentido
    • Decir “por seguridad no puedes usar el cliente que quieras” es puro disparate
      Si un atacante quiere atacar la infraestructura, no le va a importar usar el cliente que Bambu prefiera
      Bambu una vez más está alejando a su propia base de usuarios
    • O tal vez sí sea un problema de seguridad tan obvio que habría que reportarlo: https://github.com/bambulab/BambuStudio/issues/10681

  • No conozco bien los detalles de cómo el software de Bambu hace pasar todo por servidores chinos ni de cómo están cerrando el software, pero sospecho que podría tener relación con vigilancia durante una guerra
    Las impresoras de Bambu serían fundamentales para el esfuerzo bélico de Ucrania y, según esta visión, la principal razón por la que Ucrania va ganando después de enero de 2026
    A diferencia de los drones que China primero le vendió por millones a Rusia, China ya habría activado interruptores de apagado integrados en drones chinos usados por Ucrania para impedir su uso, y sería muy sospechoso que luego otra empresa china, Bambu, hubiera empezado a observar en secreto a gran escala la impresión 3D usada para producir reemplazos de drones en fábricas secretas por toda Ucrania
    Sea cual sea la razón, ahora sería momento de que los programadores cambien la situación y, al estilo de Louis Rossmann [1], en vez de recaudar dinero para una batalla legal, apoyar a programadores de ensamblador para hacer ingeniería inversa del firmware de Bambu y crear un firmware libre y open source
    Ese reemplazo de firmware tardaría algunos meses, pero todos podrían aportar un poco de dinero para que se publique gratis y así Ucrania pueda seguir fabricando millones de drones, terminar la guerra y salvar más de 100 mil vidas
    [1] https://www.youtube.com/watch?v=qLLVn6XT7v0
    Yo mismo estaría dispuesto a hacer la ingeniería inversa, pero para crear desde cero firmware nuevo para todos los modelos de Bambu necesitaría al menos 35 euros diarios para vivir y acceso durante varias semanas a varios modelos para pruebas. Estimo entre 5 y 9 meses para reconstruir y publicar el firmware de toda la línea desde cero, y me pregunto si Rossmann y Geerling podrían usar su influencia para coordinarlo
    Ya les mandé correo a Rosmann y Geering preguntando si se puede liberar juntos el firmware de Bambu, y quien quiera ayudar puede contactarme por mi perfil de HN

    • Bambu ya exigía pasar por sus servidores desde antes de la guerra en Ucrania; lo único es que cada vez fue más difícil esquivarlo
    • Ese tipo de afirmaciones necesita fuentes
    • Este comentario tiene mucha teoría conspirativa y desinformación
      No sé sobre las impresoras más nuevas, pero los modelos Bambu usados en ese periodo podían activar fácilmente un modo solo LAN
      También se podían usar totalmente aislados de la red y con tarjeta SD
      Se puede habilitar acceso root desde la app e instalar modos de firmware, y ya hay varios intentos de ingeniería inversa del firmware
    • Si de verdad un firmware libre para Bambu fuera tan crucial para que Ucrania siguiera produciendo millones de drones, terminara la guerra y salvara más de 100 mil vidas, uno pensaría que Ucrania ya lo habría hecho en cuanto eso se volvió un obstáculo
    • ¿No basta con poner el archivo en una tarjeta SD y conectarla físicamente a la impresora?
      La administración a gran escala se vuelve un poco más complicada, pero salvo que me haya perdido alguna actualización, me cuesta creer que se necesite acceso a internet

  • Soy partidario del open source, pero hace unos meses compré una Bambu P1S
    Investigué y vi que había forma de usarla normalmente sin crear una cuenta de Bambu, sin usar el slicer de Bambu y sin mandar todas las impresiones a los servidores de Bambu
    No tengo notas exactas, pero recuerdo que lo configuré así casi sin problemas, y creo que solo hubo que cambiar una opción en la impresora. Para bloquear actualizaciones automáticas de firmware y telemetría, opcionalmente bastaba con bloquearle el acceso a internet desde el firewall
    He usado únicamente OrcaSlicer para ajustar modelos, cambiar parámetros y enviar impresiones
    Bambu claramente está mal al ponerse agresivo con un fork open source legítimo de su slicer, pero no entiendo exactamente cuál es el problema actual. ¿La impresora está más cerrada que antes, o solo pasa con algunos modelos?

    • En “solo cambias una opción en la impresora, y opcionalmente bloqueas el acceso a internet en el firewall”, ese “solo” oculta bastante
      Para nosotros es fácil, pero para la mayoría de usuarios esa parte ya es demasiado
      Yo también uso una P1S y Bambu me parece una empresa rara. Se ha beneficiado muchísimo del software open source y a veces viola tanto su espíritu como sus licencias
      Diseñaron el sistema para que una impresión pase por un intermediario, aunque perfectamente podría ir directo al dispositivo en la red local, lo cual sería como si una impresora láser tuviera que pasar por la nube en vez de recibir el trabajo directamente
      Como además hay poca o nula protección o cifrado de los datos de diseño, da la impresión de que fue intencional. Viendo el historial de muchas empresas chinas frente a la propiedad intelectual, uno termina asumiendo que robar diseños es un objetivo principal
      Si sumas su mal historial con open source, su enfoque sospechoso hacia la privacidad y la protección de la propiedad intelectual, y su actitud legal agresiva, me parece una organización muy difícil de confiar
      Por suerte mis diseños son más del nivel “miren esta basura”, así que no me preocupa, pero jamás lo usaría para trabajo importante
    • Estoy en una situación parecida. Entiendo la polémica actual, pero para mi uso era una herramienta ocasional en un banco de trabajo en el garaje, así que el modo LAN me bastaba y estaba completamente separado de la controversia
      No quiero que un slicer open source envíe impresiones al servicio en la nube de Bambu, porque para empezar no quiero ningún servicio en la nube
      El valor de revisar o iniciar una impresión desde el teléfono es prácticamente cero; la mando desde la laptop de la oficina y durante la impresión reviso de vez en cuando desde esa misma laptop
      Hasta ahora me ha funcionado bien, pero preocupa que los intereses empresariales de Bambu no vayan hacia ese tipo de uso, sino hacia meter todo lo posible dentro de su ecosistema
      Quieren controlar el lado de los modelos con MakerWorld y mandar todo el flujo por la nube
      Incluso sin asumir mala fe, hay incentivos financieros y de experiencia de usuario muy claros, parecidos a Apple
      Pero es una empresa china, y en un entorno donde legisladores occidentales buscan controlar estrictamente para qué se usan las máquinas, no me parece exagerado no querer entrar a ese mundo
      En un mundo solo en la nube, es mucho más fácil implementar DRM, protección de copyright y restricciones de impresión que en un mundo donde software open source manda G-code a una impresora local
      No necesito ni planeo cambiar de máquina ahora mismo, pero probablemente la próxima no será Bambu. Bambu ya no es la única empresa que fabrica máquinas-herramienta productivas para usar la impresión 3D sin que la impresión 3D en sí se vuelva tu hobby
    • A mí me parece que Bambu solo se opone a que usen su servicio en la nube
      Hacer un fork del software y usarlo con sus propias impresoras estaría bien, pero no quieren que se use junto con el servicio en la nube de Bambu, que tiene sus propios términos de acceso
      Que hayan decidido pelear justo por esto es raro, pero no es una postura totalmente irracional. La nube es la computadora de otro, y el dueño puede poner reglas sobre lo que se puede hacer en ella
      Que el cliente sea open source no te da automáticamente derecho a usar el servidor
      Si todo corre en local con modo desarrollador, o en remoto mediante tu propia VPN como el autor del comentario, prácticamente no habría diferencia
    • Antes era más fácil para los usuarios usar un slicer personalizado tanto con impresión en la nube como local al mismo tiempo
      Después de una actualización de firmware en algún punto de 2025, hubo que elegir entre nube o local
      Si activabas modo local, podías usar un slicer personalizado, pero se desactivaban la impresión y el monitoreo por la nube
      La gente quería ambas cosas y también quería apertura, así que hubo rechazo
      El fork más reciente hace que cierto slicer personalizado nuevo suplante el User-Agent para enviar impresiones a la nube de Bambu, y así recuperar la experiencia previa a 2025
      Bambu demandó a ese nuevo fork, mientras que usar OrcaSlicer localmente sí sigue estando bien
    • Según entiendo, cuando compraste esa impresora, el firmware de ese momento no impedía ese tipo de uso
      Ahora, si necesitas impresión remota y no quieres enviar modelos a Bambu Cloud, puedes evitarlo activando modo solo LAN y modo desarrollador
      Pero ¿qué pasa si un firmware nuevo obliga a crear una cuenta en línea y conectar con Bambu Cloud durante la configuración inicial? ¿Qué pasa si limita funciones al imprimir desde tarjeta SD?
      Es una tendencia bastante preocupante, y ahora además la empresa está amenazando legalmente a desarrolladores open source que intentan permitir impresión remota sin pasar por los servidores de Bambu, usando código AGPL de Bambu

  • Haciendo de abogado del diablo, ¿qué incentivo tiene Bambu Lab para dar servicio en la nube gratis de por vida si solo recibió un pago único por la venta?
    Podrían cobrar una suscripción, pero eso seguramente generaría rechazo entre usuarios ligeros
    También podrían monetizar con anuncios, venta cruzada o upselling, y ahí los clientes de terceros serían un riesgo
    No veo muy bien sobre qué base la comunidad open source puede exigirle servicios gratuitos a Bambu

    • Si no quieren ofrecer servicio en la nube gratis para siempre, entonces que la hagan funcionar sin conexión, como todas las demás impresoras 3D

  • Louis Rossmann subió un video diciendo que pondría 10 mil dólares para ayudar a que desarrolladores open source peleen contra las amenazas legales de Bambu, y yo también aportaría con gusto, pero solo tiene sentido si algún desarrollador está dispuesto a volver a convertirse en objetivo de Bambu
    En vez de eso, Rossmann decidió convertirse él mismo en objetivo y publicó un video provocando a Bambu: https://youtu.be/1jhRqgHxEP8?si=BwfoCKxujd0XwNJ0
    Lo que no entiendo es cómo cambia la carga sobre la infraestructura que alguien use una build del slicer de Bambu frente a usar el mismo código desde otro slicer o fork
    Al final es la misma persona haciendo la misma solicitud
    Si no pueden manejar la carga, la solución sería gestionar con cuidado el suministro de impresoras. Por el tono de la publicación del blog, si su infraestructura no aguanta ni a más de tres personas, entonces no deberían soltar más de tres impresoras al mismo tiempo en todo el mundo

  • Estaba a punto de comprar una P2S, pero ahora ya no la voy a comprar
    Bambu Studio es literalmente un fork de PrusaSlicer. No puedes montarte sobre una comunidad y luego amenazar a esa misma comunidad

  • Desde el punto de vista operativo, no es que esté totalmente en desacuerdo con Bambu, pero sí con la forma en que lo manejaron
    Bambu ofrece una infraestructura en la nube para controlar las impresoras en remoto con su software
    Si no querían que software no aprobado accediera a la nube, debieron haber creado autenticación de verdad y haberlo dicho claramente
    Que los usuarios deban poder usar la impresora sin pasar por el software oficial y la nube es otra cuestión aparte, y más compleja
    Si no hubieran actuado de forma tan confrontativa, se habrían ahorrado este escándalo y no le habrían dado munición ideológica a su base de usuarios

    • Tuvieron años para hacer autenticación y una API de verdad; muchos desarrolladores, incluyéndome, lo pedimos, y nunca pasó
      Y no parece que vaya a pasar tampoco