Bambu Lab 滥用开源社会合同：社区 OrcaSlicer 分支争议全景解读

发布于: 2026-05-13 • 分类: 开源 / 3D 打印 / 法律争议

事件概览

2026年5月，知名 3D 打印机厂商 Bambu Lab 向一个社区维护的 OrcaSlicer 分支（OrcaSlicer-bambulab）的开发者发出了律师函。这个分支只有一个核心改动：让用户可以通过 OrcaSlicer 正常使用打印机，而不必将每一次打印都经过 Bambu 的云端服务器。事件迅速登上 Hacker News 首页，获得 884 分，成为当周最热技术话题之一。Jeff Geerling 发表长篇博文谴责，Louis Rossmann 承诺提供一万美元法律支持。

前因：为什么会有这个分支

去年 Jeff Geerling 就宣布"再也不会推荐 Bambu Lab 打印机"。当时 Bambu Lab 强制推送云连接方案作为默认设置，他采取的应对措施包括：用 OPNsense 防火墙阻断打印机联网、停止固件升级、锁定到开发者模式、删除 Bambu Studio 换用 OrcaSlicer。

OrcaSlicer 本身是一个漫长开源分叉链的末端：它是 Bambu Studio 的分支，Bambu Studio 是 PrusaSlicer 的分支，PrusaSlicer 又是 Slic3r 的分支。全都采用 AGPLv3 开源许可证。链条上的每一个分叉都行使了 AGPLv3 赋予的权利——查看、修改和再分发源代码。

问题在于，Bambu Lab 的默认设置会让每一次打印都经过公司服务器。虽然官方提供了所谓"开发者模式"，但需要用户自己在旧固件上阻断网络——绝大多数用户不会这样做。

导火索：OrcaSlicer-bambulab 分支

开发者 jarczakpawel 创建了一个名为 OrcaSlicer-bambulab 的分支。这个分支的网络通信层直接用了 Bambu Studio 上游的 AGPL 代码，一字未改。改动的目的是：让用户能在不经过云服务器的情况下，直接用 OrcaSlicer 打印。

Bambu Lab 的反应是发律师函，并提出了严重的公开指控：

• 声称这个分支使用了"身份伪造攻击"
• 指责开发者绕过了安全机制
• 将其定位为对基础设施的威胁

Bambu Lab 的声明

Bambu Lab 在其博客上发表了题为 "厘清云访问与社区事实" 的文章，其中写道：

"这个修改通过向网络通信注入伪造的身份元数据来工作。简单说，它假装自己是官方 Bambu Studio 客户端与我们的服务器通信。"

Jeff Geerling 的回应毫不客气："我觉得他们既不懂开源文化，也不懂安全——如果他们的防 DDoS 方案仅仅是依靠一个公开的 User-Agent 字符串的话。"

核心矛盾在于：这个分支使用的就是 Bambu Studio Linux 版用的同一行代码。这是开源社区的标准做法——用 AGPL 代码，继承其能力。分支没有做任何上游代码没做过的事情。

开源的"社会合同"被破坏

AGPLv3 许可证的设计初衷就是防止公司在服务中使用开源代码但不回馈社区。如果你公开分发修改版，你必须开源。Bambu Lab 选择 AGPLv3，等于从一开始就明确允许了别人做分支——然后他们又反过来攻击分支开发者。

Geerling 还指出了一个讽刺的事实：2022 年 Bambu Lab 自己的分叉导致用户遥测数据 发到了 Prusa 的服务器上，Prusa 没有发律师函。Prusa 理解开源是需要你来我往的。

开发者的回应

在回应律师函的提交信息中，分支开发者写道：

"Bambu Lab 没有先私下联系我就公开了这些指控。他们拒绝了我公布完整通信记录的请求。相反，他们发表了一份单方面的声明，我无法直接反驳。在公众眼中，我被塑造成了一个绕过安全机制、冒充客户端、威胁基础设施的人。我拒绝这个定性。"

他还提到："我之前一直在帮助 Bambu Studio 用户解决 Linux 和 Wayland 的问题，包括在 Bambu Lab 自己的 GitHub 仓库上。现在我被说成是对他们基础设施的威胁，这非常荒谬。"

社区反应：Louis Rossmann 承诺 $10,000

Louis Rossmann 在视频中说要提供 一万美元 帮助这个开源开发者应对 Bambu 的法律威胁。Geerling 也表示愿意捐款，但前提是开发者愿意再次成为 Bambu Lab 的目标。

这在硬件和开源社区是一个重要信号。核心问题很清楚：一个公司如果选择了 AGPLv3 发布软件，能不能事后攻击那些用同一段代码做分支的人？

关于"结构性漏洞"的争议

Bambu Lab 的博文提出了安全担忧：

"这造成了结构性漏洞。如果这种方法被广泛采用或错误配置，数千客户端可能同时冒充官方客户端向我们的服务器发起请求。我们的系统无法区分流量，因为请求看起来完全相同。"

Geerling 的回应："他们把开发者描绘成试图冒充他们的应用，但开发者用的是他们自己的 AGPL 代码。如果一个公开的 User-Agent 字符串就是他们唯一的防 DDoS 手段，那他们基础设施的问题远远不止这个分支。"

对 3D 打印和开源生态的影响

这件事远不止一家公司和一个小分支。它触及了开源许可证最基本的社会契约：

• 公司选择 AGPLv3 就是主动选择允许他人使用和修改
• 依赖云端的硬件造成了权力失衡——厂商可以随时改变规则
• 针对个体开发者的法律威胁会对整个开源生态产生寒蝉效应
• "拥有"设备的人应该有权控制它的运行方式

正如 Geerling 总结的："什么都不做明明更简单也更有益。他们非要跑去责怪一个开源开发者——去解决他们自己的基础设施和安全问题。"

如果你想保护自己的打印机控制权

• 在路由器/防火墙层面阻断打印机联网
• 停留在仍支持开发者模式的旧固件
• 换用 OrcaSlicer 替代 Bambu Studio
• 自己搭建 WireGuard VPN 实现远程访问
• 趁还能用，查看 开发者模式文档

总结

OrcaSlicer-bambulab 事件是一个典型的"如何不处理社区开源贡献"的案例。Bambu Lab 有多个不升级冲突的选择：友好沟通商标问题、讨论基础设施安全方案、或者什么都不做。但他们选择了威胁一个开发者——用的是他们自己 AGPL 代码，用的方式恰恰是许可证所允许的。

社区的反应——884 分 Hacker News、一万美元的资助承诺、广泛的舆论谴责——传递了一个明确信号：开源社会合同是有约束力的，滥用它的人会付出代价。