BambuStudio ha violado la licencia AGPL de PrusaSlicer desde el fork

 (twitter.com/josefprusa)
1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • BambuStudio es un fork de PrusaSlicer basado en AGPL-3.0; aunque publicó el código del slicer, enfrenta acusaciones de haber dejado como binario cerrado el plugin de red para la comunicación con la nube
  • El plugin cerrado es necesario para funciones clave y no funciona de forma significativa sin BambuStudio, por lo que separar los archivos difícilmente evita las obligaciones sobre obras derivadas
  • El blob binario de red no viene incluido, sino que se descarga en tiempo de ejecución, lo que dificulta revisar la parte real de comunicación con la nube únicamente mediante auditoría del código fuente publicado
  • Prusa indicó que evaluó acciones legales, pero al tratarse de software era difícil bloquearlo en aduanas, y además existían barreras prácticas para ejecutar medidas contra una empresa china bajo jurisdicción china
  • La combinación de las leyes chinas sobre información, cifrado, datos y vulnerabilidades, junto con la naturaleza de los datos industriales en la impresión 3D, amplía el riesgo a las funciones de red de fabricantes chinos en general

La controversia por la violación de AGPL en BambuStudio

  • Relación entre PrusaSlicer y BambuStudio

    • PrusaSlicer es un fork de Slic3r bajo licencia AGPL-3.0, y aunque más del 90% de la base de código actual fue escrita por Prusa, mantiene el linaje de Slic3r
    • BambuStudio es un fork de PrusaSlicer, y el punto central de la acusación es que publicó la parte del slicer pero dejó como binario cerrado el plugin de red que se comunica con la nube
    • La AGPL-3.0 permite forks y distribución comercial, pero es una licencia copyleft fuerte que exige que las obras derivadas también se mantengan como software de código abierto

  • Por qué el plugin de red cerrado es problemático

    • Es posible defender que el plugin es una obra separada y por tanto no está sujeto al copyleft, pero existe el contraargumento de que BambuStudio no puede realizar funciones clave sin el plugin, y que el plugin tampoco funciona de forma significativa sin BambuStudio
    • Si ambos componentes no son productos independientes que se comunican de manera accidental, sino un solo producto dividido en dos archivos, resulta difícil evitar las obligaciones de la AGPL
    • Mover código más allá del límite de llamadas a funciones y llamarlo obra separada no elimina por sí solo las obligaciones de copyleft
    • OrcaSlicer heredó la misma licencia al hacer un fork de BambuStudio, y queda como un caso de cumplimiento de las reglas de la licencia

  • Descarga en tiempo de ejecución y límites de auditoría

    • Se señala que el blob binario de red no está incluido dentro de BambuStudio, sino que se descarga en tiempo de ejecución
    • Incluso auditando el código fuente publicado de BambuStudio, resulta difícil revisar de forma significativa la parte que realmente se comunica con la nube
    • Ese binario queda fuera de la cadena pública de suministro de software, llega desde un CDN no controlado por el usuario y puede ser reemplazado en cada ejecución sin revisión previa externa a Bambu
    • Josef Prusa cuestionó públicamente esta estructura en marzo de 2023 y considera que sigue igual hoy: x.com/josefprusa/status/1634250522843553797

  • Límites prácticos de la ejecución legal

    • Prusa indicó que en ese momento evaluó seriamente acciones legales, pero como PrusaSlicer es software y no hardware, no había un producto en caja que pudiera frenarse en aduanas
    • Dado que el usuario de la licencia está bajo jurisdicción china, una demanda probablemente terminaría siendo un caso en el que un tribunal chino aplicaría derecho chino a una empresa china, lo cual representaba una barrera práctica real
    • Una licencia sin vías efectivas de ejecución se vuelve, en la práctica, algo cercano a una recomendación, y Bambu terminó manteniendo el blob binario de red
    • Esto también se conecta con la situación actual en la que continúan las amenazas legales contra pequeños desarrolladores que intentan abrir esa pequeña caja negra

  • Cómo se descubrió inicialmente

    • PrusaSlicer 2.4 introdujo telemetría anónima opcional y, poco después del lanzamiento, apareció en la base de datos un elemento identificado como “BambuSlicer
    • En un momento en que aún no se conocía BambuStudio, una build interna de Bambu fue configurada por error para enviar telemetría a los servidores de Prusa, lo que permitió a Prusa enterarse de la existencia del fork
    • Tras el lanzamiento público, la comunidad exigió a BambuLab publicar el código fuente de BambuStudio para cumplir con la licencia AGPL: x.com/Bryan_Vines/status/1542530102419939332
    • Prusa afirmó que desde el principio conocía el origen y el linaje de este software: x.com/josefprusa/status/1542259514828791811

Legislación china y riesgos sobre los datos de impresión 3D

  • El entorno creado por cinco leyes y regulaciones

    • Josef Prusa vincula el problema del binario de red de BambuStudio con el amplio entorno legal que enfrentan las empresas chinas, y sostiene que deben analizarse conjuntamente cinco leyes y regulaciones creadas entre 2017 y 2023
    • La Ley Nacional de Inteligencia (2017) exige a todas las organizaciones y ciudadanos “apoyar, asistir y cooperar” con actividades de inteligencia, y además prohíbe divulgar que dicha cooperación existió
    • La Ley de Cifrado (2020) somete el cifrado comercial a aprobación y revisión estatal, y lleva a la lógica de que, si las autoridades lo solicitan, las empresas deben proporcionar claves de descifrado o texto plano
    • El artículo 2 de la Ley de Seguridad de Datos (2021) establece un alcance extraterritorial para los datos relacionados con la seguridad nacional o el interés público de China, lo que da lugar a la interpretación de que, aunque los servidores estén en la UE o en EE. UU., la jurisdicción sigue a la empresa
    • La reforma de la Ley Antiespionaje (2023) amplió la definición general de espionaje para incluir “documentos, datos, materiales y objetos” relacionados con la seguridad y los intereses nacionales, por lo que también podrían entrar los datos industriales
    • La Regulación sobre vulnerabilidades de seguridad en productos de red (2021) exige a empresas o investigadores que descubran vulnerabilidades de software reportarlas al MIIT en un plazo de 48 horas, y se sostiene que luego esa información fluye hacia la CNNVD operada por la Oficina 13 del Ministerio de Seguridad del Estado

  • Por qué la impresión 3D es sensible

    • Al observar juntas estas cinco leyes y regulaciones, la cooperación se vuelve obligatoria, el cifrado existe pero las claves de respaldo quedan en manos de organismos estatales, y la jurisdicción termina siguiendo a la empresa más allá de las fronteras
    • Se indica que la impresión 3D pasó a ser un sector estratégico de China en 2020 y luego fue incorporada al plan Made in China 2025
    • Las impresoras 3D son sensibles porque suelen instalarse en departamentos de I+D, talleres de prototipado, proveedores del sector defensa, laboratorios universitarios y startups de hardware, es decir, en lugares donde se crea nueva propiedad intelectual
    • El slicer comparte en la computadora del usuario los mismos datos y permisos de acceso que tiene el usuario, por lo que participa en el mismo flujo de datos que la máquina situada justo al lado de lo que se está inventando
    • Josef Prusa no afirma saber con certeza qué ocurre dentro de Bambu, pero considera que la misma preocupación no aplica solo a la impresión 3D, sino también a fabricantes chinos en general, incluyendo cámaras, automóviles, herramientas de programación y modelos de IA gratuitos que recopilan datos

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Opiniones de Hacker News

  • ¿Es la persona que publicó el texto original del 13 de mayo? Parece una publicación duplicada
    https://news.ycombinator.com/item?id=48109224
    https://news.ycombinator.com/item?id=48175820
    https://news.ycombinator.com/item?id=48115127

  • Estoy muy de acuerdo con que Josef hable del riesgo para la propiedad intelectual, pero es raro verlo como si solo las empresas chinas fueran el problema
    Es cierto que el gobierno chino tiene leyes y mecanismos para obtener información de sus empresas bajo varios pretextos, pero EE. UU. también puede exigir a sus grandes proveedores datos de servidores fuera de su territorio gracias al Cloud Act
    Cuando más del 80% de las empresas europeas confían sus datos operativos más sensibles a Amazon, Microsoft o Google, no me queda claro en qué se diferencia eso de datos que quizá ya se estén filtrando
    Pasa lo mismo con la IA, los teléfonos y los sistemas de pago; más que protección de la propiedad intelectual, da la impresión de escoger a un enemigo y fingir que lo demás está bien. El hecho de que sea un texto escrito por el dueño de Prusa Research sobre su principal competidor también parece un ejemplo de eso

    • También frustra que Prusa ya no esté tan lejos del enfoque de Bambu
      Prusa-Link solo permite control básico de trabajos y casi no tiene control del equipo ni telemetría remota, mientras que las funciones importantes están detrás de la nube de PrusaConnect
      Durante años, Prusa prometió abrir el código para que las granjas de impresión pudieran operar sin conexión, pero ahora incluso añadieron planes de pago
      Me gustan las impresoras de Prusa y todo mi equipo es de Prusa, pero tienen que arreglar el estado del software. En su forma actual, cuesta distinguirlo de la realidad operativa de Bambu, y para usar todas las funciones de la XL primero hay que enviar los archivos a Chequia
    • Eso de “fingir que lo demás está bien” no es cierto
      Es razonable señalar el problema cada vez que se ve una violación legal o una invasión de la privacidad de usuarios o empresas, y cada quien suele detectar mejor los problemas en el área donde trabaja
    • Los proveedores de nube de EE. UU. están perdiendo muchos clientes por culpa del Cloud Act

  • Mi impresora se usa para hacer prototipos de negocio, así que no tengo ninguna intención de enviarlos por internet para que alguien los revise
    Mi próxima impresora probablemente la haré en gran parte con piezas impresas en 3D, mezcladas con componentes genéricos como controladores de motor, tubos metálicos, un sistema comercial de nivelación de cama y software de código abierto
    Para el trabajo solo necesito impresión monocolor y, hasta donde sé, la impresora más rápida del planeta también está hecha en su mayor parte con piezas impresas en 3D, así que basta con usar eso como base y adaptarlo a mis necesidades
    Consideré Bambu, pero la descarté desde que tomó el camino de no dejarme controlar un producto que es mío. No gasto dinero en empresas que van en esa dirección

    • Me parece un poco gracioso que esta pelea se interprete como “no quiero enviarlo por internet para que alguien lo vea”
      Esta discusión empezó porque alguien volvió a meter soporte de Bambu Cloud en OrcaSlicer porque los usuarios lo querían
      Las primeras tres líneas del README del fork de Louis Rossmann dicen “restaurar soporte completo de BambuNetwork para impresoras Bambu Lab”, “no limitado solo a LAN” y “igual que antes, uso e impresión normales por internet mediante BambuNetwork”
      Pero si uno solo lee los comentarios de HN, podría parecer que Bambu está tratando de obligar a todo el mundo a usar servicios en la nube
    • Puedes diseñarla o construirla tú mismo, pero no hace falta
      En el mundo hay muchísimas impresoras 3D offline nuevas que se pueden comprar, y si el objetivo es operar sin conexión, encontrarlas es fácil
      Muchas aceptan gcode estándar generado por herramientas como Orca Slicer mediante tarjeta SD o USB, y ni siquiera tienen funciones de red integradas
      Si también quieres firmware de código abierto, primero investiga si puedes cargar una compilación propia de Marlin o Klipper en la placa controladora base
      Poder ejecutar firmware abierto no es algo raro, sino bastante común
      Basta con filtrar por precio, rendimiento, comunidad y soporte, luego armar el equipo y compilar Marlin o Klipper. Es muy probable que la comunidad de impresión 3D te ayude en todo ese proceso
    • Lo que buscas se parece más a Voron
      Son las impresoras de las que Bambu tomó “inspiración”, y todas pueden hacerse con piezas comerciales
      Construir una Voron 2.4 fue bastante divertido, y comprar un kit con el cableado ya preparado en arneses lo hizo mucho más fácil
    • Aunque sea china, hay opciones que no llaman a casa
      Uso una Qidi Q2 y es una impresora excelente; corre firmware abierto basado en Klipper+Fluid, y está más cerca de una Voron con hardware cerrado o de una X1C con software abierto
      Las impresoras de Flashforge también están siendo populares últimamente por la impresión con múltiples boquillas, y he oído que son bastante abiertas
    • Pasar de una Bambu a una impresora 3D autoensamblada ni siquiera parece la misma categoría de equipo
      Bambu siempre se ha enfocado en hacer dispositivos que funcionen con solo conectarlos y usarlos

  • Me da curiosidad cómo exactamente BambuLab o el gobierno chino podrían explotar realmente esos datos
    Veo los modelos 3D como un continuo entre dos categorías: modelos artísticos y modelos prácticos; del lado artístico, quizá solo terminarían con una montaña de miniaturas occidentales
    Del lado práctico, también es probable que haya montones de piezas aleatorias cuyo uso no se puede identificar
    Claro, el siguiente paso podría ser, como la rana en agua hirviendo a fuego lento, exigir que se adjunte metadata al modelo antes de imprimir

    • Creo que se está subestimando cuánto usan las empresas la impresión 3D para prototipado
      No solo hay usuarios aficionados imprimiendo miniaturas
      Por ejemplo, uso un teclado ergonómico caro por RSI, y una empresa de teclados así no pasa de una idea de diseño directo a moldes costosos
      Hay muchas iteraciones de diseño y prototipos, y todo eso se imprime en 3D
      Es probable que pase algo parecido con humidificadores, drones y cualquier otro producto
      Si tienes acceso a los STL de todos, en la práctica tienes acceso a todos los prototipos de diseño y a datos cercanos al producto final
      Es como una forma de espionaje industrial donde las empresas entregan voluntariamente sus datos porque no quieren gastar más dinero en una granja de impresoras Prusa
      Parece una jugada inteligente del gobierno chino para aprovechar la tendencia a preferir ahorros de corto plazo sobre estrategia de largo plazo, y el mismo patrón se repite hasta cuando la gente compra relojes fitness chinos porque son baratos
    • No todo lo que hacen las empresas chinas tiene un propósito malvado o una agenda oculta del gobierno chino
      La realidad es más mundana: muchas empresas chinas simplemente no entienden bien las expectativas del código abierto
      En China no existe una cultura exactamente equivalente, y la mentalidad más cercana es que si algo está publicado y se puede usar, entonces se puede tomar y usar
      No es que no exista el concepto de copyright, pero no es una noción cultural fuerte de base, no se le da tanta importancia a la propiedad, y relajar la aplicación legal también ha permitido parte de la rápida innovación china
      Durante décadas, el gobierno chino prácticamente obligó a las empresas extranjeras que entraban al país a asociarse con un socio local con al menos 51% y transferir tecnología
      Por eso puede que los detalles de las licencias de código abierto no se transmitan bien; entienden los beneficios, pero no necesariamente las obligaciones que vienen con ellos
      En el caso de BambuLab, lo más probable es que solo quiera controlar su plataforma y que se haya sorprendido por la reacción al haber entendido mal los derechos y expectativas del código abierto
      Desde una perspectiva occidental puede parecer malicioso, pero no necesariamente lo es; se parece más a una clase de desajuste de impedancia cultural
      Me recordó cuando Naomi Wu iba por Shenzhen visitando otros fabricantes de impresoras 3D y peleando por el problema de usar software GPL sin publicar las modificaciones. Le costó bastante hacerles entender las obligaciones y ventajas de ese tipo de licencias
    • En casi todos los hilos recientes sobre Bambu se da por hecho que esta pelea busca recuperar acceso local, pero en realidad empezó por restaurar el acceso a la nube de Bambu Network en OrcaSlicer
      Las primeras tres líneas del fork FULU de Louis Rossmann dicen que restaura soporte completo de BambuNetwork para impresoras Bambu Lab, que no está limitado a LAN y que vuelve a permitir funciones e impresión normales por internet como antes
      Mucha gente sin impresoras Bambu lo entendió al revés, como si los usuarios estuvieran peleando para no usar los servidores en la nube de Bambu, y eso vuelve confusa la conversación
      No es que el gobierno chino esté interesado en recolectar todos los adornos que la gente imprime, y quienes usan impresoras Bambu para fines sensibles ya estaban usando modo LAN o impresión por tarjeta SD
      Los usuarios que impulsaban esta pelea querían volver a enviar sus impresiones a la nube por comodidad
    • Si de verdad se quisiera extraer información útil, sí se podrían ver tendencias industriales con análisis automatizado
      Incluso si al principio solo se filtra una parte porque la gente dejó activadas funciones en la nube por error, podrías enterarte de categorías de productos antes de que se anuncien públicamente
      Defensa y aeroespacial quizá sean menos probables, pero viendo que la gente usa Strava en lugares extraños y sube información militar confidencial a War Thunder, no sorprendería que alguien filtrara algo
      No sería raro que en algún lugar de China ya exista un sistema de análisis automático de ese tipo
    • Esto es un problema real para mi empresa y para mí
      Estamos construyendo un sistema prototipo de deposición química de vapor en un área donde el interés y la actividad de China son fuertes
      Si usáramos Bambu, podríamos perder propiedad intelectual crítica y exclusiva, así que elegimos equipos 3D de Prusa; no podemos asumir ese riesgo

  • Me gusta que hayan puesto un enlace de xcancel en vez de enlazar directamente a X
    Había olvidado que xcancel existía, pero ahora creo que lo usaré de vez en cuando

    • Cada vez veo más seguido que los enlaces de xcancel vuelven a cambiarse a x.com
      Supongo que es porque xcancel, como xitter, nitter y servicios anteriores, quizá no dure mucho
      Ojalá algún servicio de archivo implemente la preservación de contenido de Twitter
    • En HN parece usarse bastante
    • Me sorprende que xcancel todavía funcione
      Pensé que todos los servidores de nitter habían desaparecido
    • ¿Qué ventaja tiene usar xcancel?
    • Uso https://github.com/johnste/finicky

  • Ya quedó bastante claro que las licencias de código abierto son frágiles
    Defenderlas cuesta mucho dinero y, por definición, los productos infractores son de código cerrado, así que hasta demostrar la infracción es difícil

    • Al menos Software Freedom Conservancy sí está dando pelea
      https://sfconservancy.org/news/2026/may/18/bambu-studio-3d-p...
    • Si consideras la ejecución, el código abierto de proyectos pequeños y medianos está prácticamente muerto
      Es demasiado fácil reimplementarlo en el mismo lenguaje o en otro y conseguir una negación plausible

  • La impresión 3D sigue siendo un mercado impulsado por usuarios intensivos y entusiastas de la tecnología, y es sorprendente lo mucho que Bambu los está alejando
    Me gusta el equipo de Bambu y su calidad y precio son excelentes, pero ya no tiene ventaja en funciones ni en velocidad
    Si en Creality puedo comprar casi el mismo producto, no veo por qué debería considerar una empresa como Bambu, hostil hacia el usuario

    • Estoy por comprar una impresora 3D nueva y estaba considerando muy seriamente varios modelos de Bambu
      No conozco esta polémica en detalle, pero me está haciendo mirar otros fabricantes
      Si no fuera por este problema, ya habría comprado una impresora Bambu, pero ahora estoy investigando todos los productos competidores
    • La gran ventaja de Bambu estaba en que pensó un poco más la usabilidad para el consumidor, gastó muchísimo dinero en publicidad y, al ser una impresora CoreXY, resultó más confiable que el enfoque de cama móvil
      Pero eso no alcanza para ser un foso
      Todos ya la alcanzaron, así que puedes comprar una Prusa, o una Qidi, o una Snapmaker
      La Elegoo Centuri también es una impresora excelente por el precio
      Hay muchísima competencia, y es dudoso que Bambu ofrezca algo más que ellos aparte de ética cuestionable y mala actitud
    • Me pregunto si otras marcas baratas también imprimen tan bien como Bambu sin necesidad de ajustes
      Pasarme de una vieja Prusa MK3s a una Bambu P1P+AMS fue una gran mejora, sobre todo por la velocidad, la adhesión confiable a la cama y el cambio fácil de materiales, y eso hizo mucho más divertido mi hobby de impresión
      Ahora me interesa más diseñar cosas para imprimir que estar trasteando con la impresora en sí
      Sigo las polémicas en línea, pero todavía no me arrepiento de la compra
      Si imprimiera de forma comercial o a gran escala, evitaría Bambu, pero para un aficionado con una o dos impresoras, esa hostilidad hacia el usuario todavía no tiene un impacto práctico muy grande
    • Si alguien puede aguantar así, probablemente sea Bambu
      Es como el Apple del mercado de impresión 3D: a la mayoría no le importa y solo quiere apretar imprimir y que funcione

  • No entiendo eso de que no haya vía de ejecución
    Si Josef realmente quisiera presionar a BambuLab por violar la AGPL, podría hacer que se bloqueara a nivel ISP como hizo la industria de la música y el cine
    Bastaría con enviar órdenes de cese a todos los servidores fuera de China y bloquear el tráfico a nivel ISP
    A diferencia de muchos sitios pirata, tampoco aparecerían cientos de sitios espejo a los que hubiera que perseguir

  • Con DeepSeek haciendo permanente su descuento de precios, ya tenemos material para ver cuánto valor le da China al acceso a datos
    Actualmente, los proveedores occidentales que ofrecen modelos de pesos abiertos cuestan más de 3 veces que DeepSeek mismo
    Claro, el precio no refleja solo el acceso a datos por parte de China, pero casi seguro que eso es uno de los factores

  • Me cuesta estar de acuerdo con la idea de que la defensa estándar de “el plugin es una obra separada, así que no entra en el copyleft” se venga abajo en el software real
    Se dice que BS no puede hacer el trabajo central sin el plugin y que el plugin no puede hacer nada sin BS, pero en realidad sí puedes conectarte a la impresora por modo LAN/dev e imprimir directamente desde el slicer
    Parece que hay problemas en configuraciones de red más complejas, pero eso se ve más como una excepción
    Creo que la preocupación general es válida, pero desde el punto de vista legal todavía no he visto una jurisprudencia o algo similar que muestre de manera convincente que esto sea una violación de licencia, y si existe esa base me gustaría verla