“我以前对不感谢开源维护者感到内疚。后来我意识到内疚不会出现在季度报表上。谢谢你,MalusCorp。”

这句来自某公司工程总监的“肺腑之言”,被堂而皇之地挂在一家叫Malus的网站上。

如果你以为这只是个梗,那你就太小看这件事了。

84.7万个项目,已被“处理”。

1.28万家企业客户,付费使用。

0美元 attribution(署名),一分没给。

这不是什么地下黑市,这是一个叫Malus的初创公司正大光明做的生意——用AI机器人“清洁室”重写开源代码,让企业彻底摆脱开源许可证的束缚。

你没用过?那你大概率已经被你的竞争对手超越了。

这玩意儿到底在卖什么?

简单说:Malus提供一种“清洁室即服务”(Clean Room as a Service)。

AI配图

你给它一个package.json——就是你的项目依赖清单——然后它会用AI机器人从头重写每一个开源依赖。

React?重写。Lodash?重写。Express?重写。

重写完之后,代码功能完全一样,但法律上“这是全新的代码”。不需要署名,不需要开源,不需要给原维护者任何交代。

官网原话:

“我们的专有AI机器人从未见过原始源代码。它们独立分析文档、API规范和公共接口,从零重建功能等效的软件。”

图注

翻译成人话就是:我没偷你东西,我只是“参考了你的说明书,然后自己写了一遍”。

是不是听起来有点耳熟?

对,这就是软件行业传说中的“清洁室逆向”——当年IBM和微软都玩过的套路。现在Malus把它做成了SaaS,批量生产,按KB收费。

定价有多卷?你想都想不到

$0.01 per KB。

一个lodash(1.3MB),$13.78。

一个moment.js(4.1MB),$42.48。

一个express(73KB),$0.73。

最低消费$0.50——Stripe要求的。

我算了下,如果你的项目有100个开源依赖,全部“解放”一遍,大概也就几百美元。你一年的合规律师费用可以省下来买法拉利了。

官网甚至贴心地给你做了个实时价格计算器,输入package.json立刻报价。旁边还标注着“Live Prices (fetched from our API)”——生怕你不知道这玩意儿是认真的。

那些付费客户的“肺腑之言”

网站放了四段客户证言,我建议你深呼吸后再看:

“我们有847个AGPL依赖卡住了收购。MalusCorp三周内全部解放。尽职调查团队零许可证问题。我们以23亿美元收盘。”

——Marcus Wellington III,前CTO,Definitely Real Corp(已收购)

“法务估算合规成本400万美元。MalusCorp全套解放只要5万美元。董事会乐开了花。开源维护者不爽——但谁在乎?”

——Patricia Bottomline,副总裁,法务部,MegaSoft Industries

“我以前对不感谢开源维护者感到内罪。后来我罪得(原文如此)内疚不会出现在季度报表上。谢谢你,MalusCorp。”

——Chad Stockholder,工程总监,Profit First LLC

“机器人隔离重写了我们整个npm依赖树——2341个包——完美隔离。我们的合规仪表盘从红变绿 overnight。”

——Dr. Heinrich Offshore,首席合规官,TaxOptimal Inc

看完什么感受?

我反正脊背没发凉,但血压有点上来。

这合法吗?

Malus说合法。

官网FAQ里写:“我们的清洁室流程基于成熟的法律先例。进行重建的机器人绝对没有访问过原始源代码。我们维护详细的审计日志,这些日志肯定存在,可在特定管辖区的法院要求下提供。”

注意措辞:“肯定存在”。

还有更骚的:

“如果我们的解放代码被发现侵犯原始许可证,我们将提供全额退款,并将公司总部搬迁到国际水域。”

“这从未发生过,因为它在法律上不可能发生。相信我们。”

AI配图

你细品。

开源社区炸不炸?

其实这个网站本身就挺“阴阳怪气”的。

它把开源许可证的常见问题做成了四个卡通图标:

  • Apache License Attribution(署名条款)——“你的法务团队受够了吗?”
  • AGPL Contamination(AGPL污染)——“一个错误的import,你的整个专有代码库就必须开源。恐怖如斯!”
  • License Compliance Overhead(合规开销)——“追踪数百个依赖?法律审查要几周?第三方审计发现问题?如果可以完全不管呢?”
  • Giving Back to Community(回馈社区)——“一些许可证要求你贡献改进。你的股东投资你公司是为了帮陌生人?”

最后一个问题的潜台词呼之欲出:凭啥?

这就是整件事最微妙的地方——

Malus不是偷偷摸摸干的,它甚至带着一种“我知道我很缺德但我就是要做”的得意。官网用词极尽讽刺:“liberation(解放)”、“freedom(自由)”、“freedom from...”

仿佛开源社区才是那个压迫者。

但说真的,开源生态会被玩坏吗?

我问了几个做开源的朋友。

有人说:“这不就是高级版的'我参考了你的开源项目但我不说'吗?”

有人说:“清洁室逆向在法律上确实有操作空间,但道德上——呵呵。”

也有人说:“你猜为什么这些公司不自己招人重写?还不是因为贵。现在AI便宜了,直接外包给机器人,完美。”

一个残酷的事实是:

AI配图

开源社区维护者,大部分是 用爱发电 的个人开发者。他们修bug、升级安全补丁、响应issue,一分不收。

而他们的“回报”,通常就是许可证里那一行"Portions of this software..."的署名要求。

现在有人告诉他们:这行字也可以“优化”掉。

所以这到底算创新还是抢劫?

我倾向于认为——

这是技术对伦理的又一次“压力测试”。

就像自动驾驶遇到事故时的道德算法,AI代码生成遇到了开源许可证的灰色地带。法律还没跟上,商业模式已经冲进去了。

Malus不是第一个,也不会是最后一个。

但我很好奇一件事:

当所有公司都用“清洁室AI”重写开源代码,那些曾经用爱发电的维护者,还会不会继续修bug?

当没有人再“贡献改进”回去,那些被“解放”的依赖,会不会慢慢变成没人敢碰的技术债?

那时候,谁来给代码擦屁股?

【MiniMax-M2.5锐评】:这网站槽点太多以至于像讽刺小说,但它真的在收钱——而且客户还挺多——这本身就是对开源生态最大的嘲讽。

参考链接:
https://malus.sh