BambuStudio viole la licence AGPL de PrusaSlicer depuis son fork

 (twitter.com/josefprusa)
1 points par GN⁺ 3 시간 전 | 1 commentaires | Partager sur WhatsApp
  • BambuStudio est un fork de PrusaSlicer basé sur l’AGPL-3.0 ; le code du slicer a bien été publié, mais le plugin réseau chargé des communications cloud serait resté un binaire fermé
  • Ce plugin fermé est nécessaire à des fonctions essentielles et ne fonctionne pas de manière utile sans BambuStudio, d’où la question de savoir si une simple séparation de fichiers suffit à échapper aux obligations liées aux œuvres dérivées
  • Le blob binaire réseau n’est pas intégré au bundle, mais téléchargé à l’exécution, ce qui rend difficile l’audit réel de la partie qui communique avec le cloud à partir du seul code source publié
  • Prusa dit avoir envisagé une action en justice, mais a expliqué qu’il était difficile de bloquer un logiciel à la douane et qu’il existait des obstacles pratiques à l’exécution contre une entreprise chinoise relevant d’une juridiction chinoise
  • La combinaison des lois chinoises sur le renseignement, le chiffrement, les données et les vulnérabilités, ainsi que la nature des données industrielles liées à l’impression 3D, élargit le risque à l’ensemble des fonctions réseau des fabricants chinois

Les points de friction autour d’une violation potentielle de l’AGPL par BambuStudio

  • Relation entre PrusaSlicer et BambuStudio

    • PrusaSlicer est un fork de Slic3r sous licence AGPL-3.0 ; plus de 90 % de la base de code actuelle aurait été écrite par Prusa, tout en conservant la lignée Slic3r
    • BambuStudio est un fork de PrusaSlicer ; l’accusation centrale est que la partie slicer a été publiée, tandis que le plugin réseau qui communique avec le cloud serait resté un binaire fermé
    • L’AGPL-3.0 autorise les forks et la distribution commerciale, mais c’est une licence à copyleft fort qui impose aussi aux œuvres dérivées de rester open source

  • Pourquoi le plugin réseau fermé pose problème

    • On peut défendre l’idée que le plugin est une œuvre distincte et n’entre donc pas dans le champ du copyleft, mais il est objecté que BambuStudio ne peut assurer ses fonctions essentielles sans ce plugin, et que ce dernier n’a pas d’usage significatif sans BambuStudio
    • Si les deux composants ne sont pas deux produits distincts qui communiquent par hasard, mais un seul produit scindé en deux fichiers, il devient difficile d’échapper aux obligations de l’AGPL
    • Déplacer du code au-delà de la frontière des appels de fonction et le qualifier d’œuvre séparée ne suffit pas, à lui seul, à faire disparaître les obligations du copyleft
    • OrcaSlicer a lui aussi forké BambuStudio, a hérité de la même licence et constitue un exemple de respect de ses règles

  • Téléchargement à l’exécution et limites de l’audit

    • Le blob binaire réseau n’est pas embarqué dans BambuStudio, mais serait téléchargé à l’exécution
    • Même en auditant le code source publié de BambuStudio, il reste difficile d’examiner de manière utile la partie qui communique effectivement avec le cloud
    • Ce binaire se trouve hors de la supply chain logicielle publique, provient d’un CDN que l’utilisateur ne contrôle pas, et peut être remplacé à chaque exécution sans examen préalable extérieur à Bambu
    • Josef Prusa a publiquement dénoncé cette architecture en mars 2023, et estime qu’elle est toujours en place aujourd’hui : x.com/josefprusa/status/1634250522843553797

  • Limites concrètes de l’application juridique

    • Prusa dit avoir sérieusement envisagé une action en justice à l’époque, mais a expliqué que PrusaSlicer était un logiciel et non un matériel, donc qu’il n’y avait pas de produit physique à bloquer en douane
    • Comme l’utilisateur de la licence relevait d’une juridiction chinoise, la perspective d’une affaire devant un tribunal chinois appliquant le droit chinois à une entreprise chinoise constituait un obstacle pratique majeur
    • Une licence sans voie d’exécution tend, en pratique, à ressembler à une recommandation, et Bambu a ainsi continué à maintenir le blob binaire réseau
    • Cela fait aussi écho à la situation actuelle, où des menaces juridiques visent de petits développeurs qui tentent d’ouvrir cette petite boîte noire

  • Comment cela a été découvert au départ

    • PrusaSlicer 2.4 a introduit une télémétrie anonyme optionnelle, et peu après sa sortie, une entrée identifiée comme « BambuSlicer » est apparue dans la base de données
    • À une époque où BambuStudio n’était pas encore connu, un build interne de Bambu aurait, par erreur, été configuré pour envoyer sa télémétrie aux serveurs de Prusa, révélant ainsi l’existence du fork
    • Après le lancement public, la communauté a demandé à BambuLab de publier le code source de BambuStudio afin de respecter la licence AGPL : x.com/Bryan_Vines/status/1542530102419939332
    • Prusa a indiqué qu’il connaissait dès le départ l’origine et la filiation de ce logiciel : x.com/josefprusa/status/1542259514828791811

Droit chinois et risques liés aux données de l’impression 3D

  • Un environnement façonné par cinq lois et règlements

    • Josef Prusa relie le problème du binaire réseau de BambuStudio à l’environnement juridique plus large qui entoure les entreprises chinoises, et estime qu’il faut considérer ensemble cinq lois et règlements adoptés entre 2017 et 2023
    • La loi sur le renseignement national (2017) impose à toutes les organisations et à tous les citoyens de « soutenir, aider et coopérer » aux activités de renseignement, et interdit également de divulguer le fait qu’une telle coopération a eu lieu
    • La loi sur le chiffrement (2020) place le chiffrement commercial sous approbation et examen de l’État, ce qui conduit à l’idée que les entreprises doivent fournir les clés de déchiffrement ou le texte en clair sur demande des autorités
    • L’article 2 de la loi sur la sécurité des données (2021) prévoit une portée extraterritoriale pour les données liées à la sécurité nationale ou à l’intérêt public chinois, ce qui conduit à l’interprétation selon laquelle, même si les serveurs sont situés dans l’UE ou aux États-Unis, la juridiction suit l’entreprise
    • La révision de la loi anti-espionnage (2023) a élargi la définition générale de l’espionnage aux « documents, données, matériaux et objets » liés à la sécurité nationale et aux intérêts du pays, ce qui peut inclure les données industrielles
    • Le règlement sur les vulnérabilités de sécurité des produits réseau (2021) impose aux entreprises et chercheurs qui découvrent des vulnérabilités logicielles de les signaler au MIIT sous 48 heures ; il est ensuite indiqué que ces informations alimentent la CNNVD, opérée par le 13e bureau du ministère de la Sécurité d’État

  • Pourquoi l’impression 3D est sensible

    • En combinant ces cinq lois et règlements, la coopération devient une obligation, le chiffrement existe mais les clés de réserve sont détenues par l’administration, et la juridiction suit l’entreprise au-delà des frontières
    • Il est avancé que l’impression 3D est devenue un secteur stratégique pour la Chine en 2020, avant d’être intégrée au plan Made in China 2025
    • Les imprimantes 3D sont sensibles parce qu’elles se trouvent dans des lieux où naît une nouvelle propriété intellectuelle : départements R&D, ateliers de prototypage, fournisseurs de la défense, laboratoires universitaires et startups hardware
    • Le slicer partage les données et les droits d’accès de l’utilisateur sur son ordinateur, ce qui le place dans le même flux de données que la machine installée juste à côté de ce qui est en train d’être inventé
    • Josef Prusa dit ne pas affirmer savoir ce qui se passe en interne chez Bambu, mais estime que la même inquiétude ne vaut pas seulement pour l’impression 3D ; elle s’applique aussi plus largement aux fabricants chinois dans des domaines comme les caméras, les voitures ou les outils de développement embarquant des modèles d’IA gratuits qui collectent des données

À lire aussi

1 commentaires

 
GN⁺ 3 시간 전
Commentaires sur Hacker News

  • Est-ce bien l’auteur du billet original du 13 mai ? Ça ressemble à un doublon
    https://news.ycombinator.com/item?id=48109224
    https://news.ycombinator.com/item?id=48175820
    https://news.ycombinator.com/item?id=48115127

  • Je suis largement d’accord avec Josef quand il parle de risque pour la propriété intellectuelle, mais il est étrange de présenter cela comme si seules les entreprises chinoises posaient problème
    Il est vrai que le gouvernement chinois dispose de lois et de mécanismes lui permettant d’obtenir les informations détenues par ses entreprises sous divers prétextes, mais les États-Unis peuvent eux aussi, grâce au Cloud Act, exiger de leurs grands fournisseurs nationaux l’accès à des données stockées sur des serveurs hors de leur territoire
    Quand plus de 80 % des entreprises européennes confient leurs données métier les plus sensibles à Amazon, Microsoft ou Google, je ne vois pas bien en quoi cela diffère de données qui pourraient déjà fuiter
    C’est pareil pour l’IA, les téléphones ou les systèmes de paiement, et cela donne moins l’impression de protéger la propriété intellectuelle que de désigner un ennemi tout en faisant comme si le reste allait bien. Le fait que ce texte soit écrit par le propriétaire de Prusa Research à propos de son principal concurrent va aussi dans ce sens

    • Ce qui est frustrant, c’est que Prusa n’est plus aujourd’hui si éloigné que ça du modèle de Bambu
      Prusa-Link ne permet qu’un contrôle de base des tâches, avec très peu de contrôle matériel ou de télémétrie, et les fonctions importantes sont derrière le cloud PrusaConnect
      Prusa promet depuis des années d’open sourcer son fonctionnement pour que les fermes d’impression puissent tourner hors ligne, et ils ont désormais ajouté des offres payantes
      J’aime les imprimantes Prusa et tout mon matériel est du Prusa, mais ils doivent remettre de l’ordre dans leur logiciel. Dans son état actuel, c’est difficile de distinguer cela de la réalité opérationnelle de Bambu, et pour utiliser toutes les fonctions de la XL, il faut d’abord envoyer les fichiers en Tchéquie
    • Dire qu’on « fait comme si le reste allait bien » n’est pas juste
      Il est raisonnable de dénoncer chaque fois qu’on voit une violation de la loi ou une atteinte à la vie privée des utilisateurs et des entreprises, et chacun repère le mieux les problèmes dans son propre domaine d’activité
    • À cause du Cloud Act, les fournisseurs cloud américains perdent énormément de clients

  • Mon imprimante sert à fabriquer des prototypes pour mon activité, donc il est hors de question pour moi d’envoyer ça sur Internet pour que quelqu’un puisse regarder
    Ma prochaine imprimante sera probablement construite en grande partie avec des pièces imprimées en 3D, mêlées à des composants standard comme un contrôleur moteur, des tubes métalliques, un système de nivellement du plateau du commerce et du logiciel open source
    Pour mon travail, je n’ai besoin que d’impressions monochromes, et à ma connaissance l’imprimante la plus rapide au monde est elle aussi composée en grande partie de pièces imprimées en 3D, donc il suffit de partir de là et de l’adapter à mes besoins
    J’ai envisagé Bambu, mais je l’ai écarté depuis qu’ils ont pris la voie qui m’empêche de contrôler le produit que je possède. Je ne donne pas d’argent à des entreprises qui vont dans cette direction

    • Je trouve assez drôle que ce conflit soit interprété comme « je ne veux pas envoyer ça sur Internet pour que quelqu’un puisse regarder »
      Cette polémique a commencé parce que des utilisateurs le voulaient, et que quelqu’un a remis le support du cloud Bambu dans OrcaSlicer
      Les trois premières lignes du README du fork de Louis Rossmann disent aussi : « restauration du support complet de BambuNetwork pour les imprimantes Bambu Lab », « non limité au LAN seulement », et « utilisation et impression normales via BambuNetwork sur Internet comme avant »
      Pourtant, si on ne lit que les commentaires HN, on pourrait croire que Bambu se bat pour forcer tout le monde à utiliser son service cloud
    • On peut concevoir ou fabriquer soi-même, mais ce n’est pas obligatoire
      Il existe énormément de imprimantes 3D hors ligne qu’on peut acheter neuves, et si l’objectif est un fonctionnement sans connexion, c’est facile d’en trouver
      Beaucoup acceptent un gcode standard produit par des outils comme Orca Slicer via carte SD ou USB, et n’ont même pas de fonction réseau intégrée
      Si vous voulez aussi un firmware open source, il suffit d’abord de vérifier si vous pouvez installer un Marlin ou un Klipper compilé par vous-même sur la carte contrôleur d’origine
      La possibilité d’exécuter un firmware ouvert n’est pas rare, elle est même assez courante
      Il suffit ensuite de filtrer selon le prix, les performances, la communauté et le support souhaités, puis d’assembler la machine et de compiler Marlin ou Klipper. La communauté de l’impression 3D pourra probablement aider tout au long du processus
    • Ce que vous cherchez ressemble davantage à Voron
      Ce sont les imprimantes dont Bambu s’est « inspiré », et elles peuvent toutes être construites à partir de composants standard
      J’ai beaucoup aimé construire une Voron 2.4, et l’achat d’un kit avec faisceaux de câbles préassemblés a largement simplifié les choses
    • Il existe aussi des options chinoises qui ne téléphonent pas à la maison
      J’utilise une Qidi Q2, c’est une excellente imprimante, elle tourne avec un firmware ouvert basé sur Klipper+Fluid, et elle se situe quelque part entre un Voron au matériel fermé et une X1C au logiciel ouvert
      Les imprimantes Flashforge sont aussi assez populaires en ce moment pour l’impression à buses multiples, et j’ai entendu dire qu’elles sont plutôt ouvertes
    • Passer d’une Bambu à une imprimante 3D qu’on fabrique soi-même, ce n’est même pas vraiment la même catégorie de machine
      Bambu s’est surtout concentré sur des appareils qu’on branche et qui fonctionnent immédiatement

  • Je me demande comment BambuLab ou le gouvernement chinois pourraient réellement exploiter ces données
    Les modèles 3D me semblent former un continuum entre deux catégories, les modèles artistiques et les modèles utilitaires, et du côté artistique, il est possible qu’on n’obtienne qu’un énorme tas de figurines occidentales
    Du côté utilitaire aussi, on risque surtout de voir apparaître plein de pièces arbitraires dont on ne sait pas à quoi elles servent
    Bien sûr, l’étape suivante pourrait être d’exiger qu’on ajoute des métadonnées au modèle avant impression, comme la grenouille qu’on fait bouillir à petit feu

    • Je pense que vous sous-estimez à quel point les entreprises utilisent l’impression 3D pour le prototypage
      Il n’y a pas que des amateurs qui impriment des figurines
      Par exemple, j’utilise un clavier ergonomique haut de gamme à cause d’un TMS, et ce type d’entreprise ne passe pas directement d’une idée de conception à un moule coûteux
      Il y a beaucoup d’itérations de conception et de prototypes, et tout est imprimé en 3D
      Il y a de fortes chances que ce soit pareil pour les humidificateurs, les drones et à peu près n’importe quel autre produit
      Si vous avez accès aux STL de tout le monde, vous avez accès à tous les prototypes de conception et à des données proches des produits finaux
      C’est une sorte d’espionnage industriel dans lequel les entreprises livrent volontairement leurs données parce qu’elles ne veulent plus payer des fermes d’imprimantes Prusa
      Cela ressemble à une manœuvre habile du gouvernement chinois, qui exploite la tendance à préférer les économies à court terme à une stratégie de long terme, et on retrouve le même schéma quand on achète une montre connectée chinoise parce qu’elle est moins chère
    • Tout ce que font les entreprises chinoises n’a pas forcément un but malveillant ni un agenda caché du gouvernement chinois
      La réalité est plus banale : beaucoup d’entreprises chinoises ne comprennent tout simplement pas bien les attentes autour de l’open source
      Il n’existe pas vraiment d’équivalent culturel exact en Chine, et l’état d’esprit le plus proche est souvent que ce qui est publié pour être utilisé peut être repris
      Ce n’est pas qu’il n’existe aucun concept du droit d’auteur, mais ce n’est pas une notion culturelle de base très forte, l’idée de propriété y compte moins, et un certain relâchement dans l’application juridique a aussi contribué à la rapidité de l’innovation chinoise
      Pendant des décennies, le gouvernement chinois a pratiquement imposé aux entreprises étrangères entrant sur son marché un partenaire local détenant au moins 51 %, ainsi qu’un transfert de technologie
      Donc les règles détaillées des licences open source passent mal, et on peut comprendre les avantages sans bien saisir les obligations qui les accompagnent
      Dans le cas de BambuLab, il est tout à fait possible qu’ils veuillent simplement contrôler leur plateforme, et qu’ils aient été surpris par la réaction parce qu’ils comprenaient mal les droits et les attentes liés à l’open source
      Vu d’Occident, cela peut sembler malveillant, mais ce n’est pas forcément de la malveillance ; c’est peut-être plutôt une sorte de décalage d’impédance culturel
      Cela me rappelle quand Naomi Wu allait voir d’autres fabricants d’imprimantes 3D à Shenzhen et se battait contre le fait qu’ils utilisent des logiciels GPL sans publier leurs modifications. Elle avait beaucoup de mal à leur faire comprendre les obligations et les avantages de ce type de licence
    • Dans les récents fils sur Bambu, on part souvent du principe que ce conflit vise à récupérer l’accès local, alors qu’en réalité il a commencé par une tentative de rétablir l’accès cloud Bambu Network dans OrcaSlicer
      Les trois premières lignes du fork FULU de Louis Rossmann disent aussi qu’il restaure le support complet de BambuNetwork pour les imprimantes Bambu Lab, qu’il n’est pas limité au LAN, et qu’il permet de retrouver les fonctions normales et l’impression via Internet comme avant
      Beaucoup de gens qui n’ont pas d’imprimante Bambu comprennent au contraire que les utilisateurs se battent pour ne pas utiliser les serveurs cloud de Bambu, ce qui rend le fil de commentaires confus
      Le gouvernement chinois ne cherche probablement pas à collecter tous les bibelots imprimés, et les personnes qui utilisaient des imprimantes Bambu pour des usages sensibles employaient déjà le mode LAN ou l’impression par carte SD
      Les utilisateurs qui poussaient ce conflit voulaient surtout renvoyer leurs impressions vers le cloud pour des raisons de confort
    • Si l’on veut réellement en extraire des informations, on peut probablement observer des tendances industrielles par analyse automatique
      Même au début, il suffit que certaines personnes aient laissé les fonctions cloud activées par erreur pour qu’une partie des données fuite, et qu’on puisse identifier des catégories de produits avant leur annonce publique
      La défense ou l’aéronautique sont sans doute moins probables, mais quand on voit des gens utiliser Strava dans des endroits improbables ou publier des informations militaires confidentielles sur War Thunder, il ne serait pas surprenant que quelqu’un laisse quand même filtrer quelque chose
      Il ne serait pas étonnant qu’une telle analyse automatisée existe quelque part en Chine
    • C’est un vrai problème pour mon entreprise et pour moi
      Nous construisons un système prototype de dépôt chimique en phase vapeur dans un domaine où l’intérêt et l’activité de la Chine sont forts
      Nous avons choisi du matériel 3D Prusa parce qu’utiliser Bambu pourrait nous faire perdre une propriété intellectuelle propriétaire importante, et nous ne pouvons pas prendre ce risque

  • J’apprécie qu’on ait mis un lien xcancel au lieu d’un lien direct vers X
    J’avais oublié que xcancel existait, mais je vais sans doute m’en servir de temps en temps désormais

    • J’ai l’impression de voir de plus en plus souvent des liens xcancel redevenir des liens x.com
      C’est probablement parce que xcancel a peu de chances de durer, comme xitter, nitter et les services précédents
      Ce serait bien qu’un service d’archivage mette en place une conservation du contenu Twitter
    • Sur HN, cela semble assez largement utilisé
    • Je suis surpris que xcancel fonctionne encore
      Je pensais que tous les serveurs nitter avaient disparu
    • Quel est l’avantage d’utiliser xcancel ?
    • J’utilise https://github.com/johnste/finicky

  • Il devient assez clair que les licences open source sont fragiles
    Les défendre coûte très cher, et comme les produits en infraction sont par définition à source fermée, il est difficile même de prouver la violation

    • La Software Freedom Conservancy se bat au moins sur le sujet
      https://sfconservancy.org/news/2026/may/18/bambu-studio-3d-p...
    • Si l’on tient compte de l’exécution, l’open source des petits et moyens projets est pratiquement mort
      Il est beaucoup trop facile de réimplémenter la même chose dans le même langage ou dans un autre, puis de conserver une négation plausible

  • L’impression 3D reste encore un marché porté par des passionnés et des technophiles, donc il est étonnant de voir à quel point Bambu aliène ce public
    J’aime bien le matériel Bambu, et la qualité comme le prix sont excellents, mais ils n’ont plus d’avantage clair en matière de fonctions ou de vitesse
    Si je peux acheter pratiquement le même produit chez Creality, je ne vois pas pourquoi je devrais envisager une entreprise comme Bambu, hostile à ses utilisateurs

    • J’envisageais très sérieusement plusieurs modèles Bambu pour acheter une nouvelle imprimante 3D
      Je ne connais pas tous les détails de cette controverse, mais cela me pousse à regarder ailleurs
      Sans ce problème, j’aurais probablement déjà acheté une imprimante Bambu ; à la place, j’étudie maintenant tous les produits concurrents
    • Le principal avantage compétitif de Bambu venait surtout du fait qu’ils avaient un peu plus réfléchi à l’ergonomie grand public, dépensé énormément en publicité et proposé des imprimantes CoreXY plus fiables que celles où le plateau se déplace
      Mais cela ne constitue pas un moat
      Tout le monde les a rejoints, donc on peut acheter du Prusa, du Qidi ou du Snapmaker
      L’Elegoo Centuri est aussi une excellente imprimante pour son prix
      La concurrence est très forte, et il est douteux que Bambu apporte autre chose que des pratiques éthiques discutables et une mauvaise attitude
    • Je me demande si les autres marques bon marché impriment aussi bien que Bambu sans aucun réglage
      Passer d’une vieille Prusa MK3s à une Bambu P1P+AMS a été une grosse amélioration, surtout grâce à la vitesse, à l’adhérence fiable au plateau et à la facilité de changement de matériau, ce qui a rendu le hobby beaucoup plus amusant
      Aujourd’hui, ce qui m’intéresse davantage, c’est de concevoir des objets à imprimer plutôt que de bricoler l’imprimante elle-même
      Je suis les polémiques en ligne, mais je ne regrette toujours pas mon achat
      Si j’imprimais à titre commercial ou à grande échelle, j’éviterais Bambu, mais pour un amateur avec une ou deux imprimantes, l’hostilité envers l’utilisateur n’a pas encore de conséquence très concrète
    • S’il y en a un qui peut tenir comme ça, ce sera probablement Bambu
      C’est un peu l’Apple du marché de l’impression 3D : la plupart des gens s’en moquent, ils appuient simplement sur le bouton d’impression et espèrent que ça marche

  • Je ne comprends pas l’idée qu’il n’y aurait aucune voie d’exécution
    Si Josef veut vraiment faire pression sur BambuLab pour violation de l’AGPL, il pourrait obtenir un blocage au niveau des FAI comme l’ont fait les industries de la musique et du cinéma
    Il suffit d’envoyer des injonctions à tous les serveurs hors de Chine puis de faire bloquer le trafic au niveau des FAI
    Contrairement à beaucoup de sites pirates, cela ne produira probablement pas des centaines de sites miroirs à poursuivre

  • Avec la pérennisation des remises tarifaires de DeepSeek, on a désormais un indice de la valeur que la Chine accorde à l’accès aux données
    À l’heure actuelle, les entreprises occidentales qui proposent des modèles à poids ouverts sont plus de trois fois plus chères que DeepSeek lui-même
    Bien sûr, l’accès aux données côté chinois n’est pas le seul élément du prix, mais il est presque certain que c’en est un

  • J’ai du mal à être d’accord avec l’idée que l’argument de défense standard selon lequel « les plugins sont des œuvres séparées, donc non soumises au copyleft » s’effondre face au logiciel réel
    On dit que BS ne peut pas accomplir sa tâche principale sans plugin et que les plugins ne peuvent rien faire sans BS, mais en pratique on peut se connecter à l’imprimante en mode LAN/dev et imprimer directement depuis le slicer
    Il semble y avoir des problèmes dans des configurations réseau plus complexes, mais cela ressemble plutôt à une exception
    Je trouve l’inquiétude générale légitime, mais je n’ai encore vu aucun précédent juridique convaincant montrant que cela constitue bien une violation de licence, et s’il existe une telle base, j’aimerais la voir