Pokud uvažujete o koupi 3D tiskárny, pravděpodobně jste narazili na značku Bambu Lab. Jejich tiskárny jsou levné, rychlé a uživatelsky přívětivé. Jenže za tím se skrývá příběh, který by vás měl zajímat dřív, než vytáhnete peněženku.
Aktualizace: I další slicery obsahují binární blob (čast softwaru sliceru) o kterém nikdo neví, co vám v počítači a síti dělá. Více info najdete tady.
Čínská firma Bambu Lab postavila své tiskárny na open-source práci komunity. Teď hrozí soudem polskému vývojáři, který použil jejich vlastní veřejný kód. Komunita se bouří, velcí youtubeři nabízejí peníze na právní obranu. Co to znamená pro běžného kupce 3D tiskárny?
Jak Bambu Lab vznikl
Svět 3D tisku stojí na open-source základech. Víc než deset let komunita vývojářů a nadšenců budovala software, firmware i hardwarová řešení, která jsou volně dostupná. Díky tomu mohl kdokoliv vzít existující práci a postavit na ní vlastní produkt.
Přesně to udělal Bambu Lab. Vzali PrusaSlicer (ten má zase kořeny ve Slic3ru), udělali z něj vlastní verzi – Bambu Studio – a přidali svůj hardware. Vyvinout slicer od nuly by trvalo roky, takhle to zvládli za zlomek času. A je to v pořádku, licence AGPL to dovoluje. Má jedinou podmínku: pokud upravíte open-source kód a distribuujete ho dál, vaše úpravy musí zůstat taky open-source.
Slicer – software, který převádí 3D model na instrukce pro tiskárnu
Kde je problém s licencí
Bambu Lab sice zveřejnil kód Bambu Studia, ale síťový plugin – tedy tu část softwaru, která komunikuje s jejich cloudem – drží jako uzavřený binární blob. Stahuje se za běhu, není v repozitáři na GitHubu a nikdo ho nemůže prozkoumat ani auditovat. Tím podle kritiků porušují AGPL licenci, pod kterou celý slicer zdědili. Josef Průša, zakladatel Prusa Research, na to upozorňuje veřejně a říká, že BambuStudio porušuje AGPL licenci PrusaSliceru od samého začátku forku.
Pro laika: Představte si, že si koupíte tiskárnu na papír. Po roce vám výrobce aktualizací zakáže používat jiný software než ten jeho. A ten jeho software dělá kdo ví co – posílá kopii každého dokumentu na servery v Číně? Odposlouchává síť? Nebo může být součástí DDoS útoku? Hypoteticky. Bez znalosti jejich programu to nemůže nikdo potvrdit, ale hlavně ani vyvrátit. A to je hlavní problém navíc v kombinaci se zákony, které čínské firmy musí dodržovat, viz níže.
Leden 2025: Bambu zamyká ekosystém
V lednu 2025 Bambu Lab vydal aktualizaci firmwaru, která zablokovala třetím stranám přímý přístup k tiskárnám přes cloud. Hlavní obětí se stal OrcaSlicer – populární alternativní slicer, který je vlastně „vnukem“ PrusaSliceru (OrcaSlicer je fork Bambu Studia, které je fork PrusaSliceru, který vychází ze Slic3r). OrcaSlicer nabízel experimentální funkce, které oficiální software neměl, a mnoho uživatelů ho preferovalo.
Bambu Lab řekl: chcete používat OrcaSlicer? Musíte to routovat přes naši aplikaci Bambu Connect, která slouží jako prostředník. Jenže Bambu Connect výrazně omezoval, co mohl OrcaSlicer s tiskárnou dělat – viděl její nastavení, ale nemohl nic měnit. Rychlost, teplotu, barvy v AMS – to všechno musel uživatel nastavovat ručně přímo na tiskárně.
Komunita se bouřila. Firma zamykala funkce, které byly při nákupu tiskárny dostupné.
Květen 2026: Vývojář obnovil přístup, Bambu hrozí soudem
Polský vývojář Paweł Jarczak udělal fork OrcaSliceru, který obnovil přímý cloudový přístup k Bambu tiskárnám. Důležitý detail: použil k tomu kód z veřejných AGPL zdrojáků samotného Bambu Studia. Neprolomil žádné zabezpečení, nepoužil žádný proprietární kód. Vzal to, co Bambu Lab sám zveřejnil pod open-source licencí.
Bambu Lab mu obratem poslal právní výhružku – cease and desist – a obvinil ho z „impersonace“ (vydávání se za oficiální software) a „reverse engineeringu“. Jarczak požádal Bambu Lab, aby přesně identifikovali, který kód nebo commit je problematický a na jakém právním základě stojí. Místo odpovědi Bambu Lab zveřejnil blogový příspěvek, kde Jarczaka veřejně obvinil, aniž by mu dal možnost se bránit na stejné platformě.
Jarczak pod nátlakem repozitář stáhl. Jeden člověk z komunity proti miliardové čínské firmě.
Komunita říká: dost
Reakce na sebe nenechala dlouho čekat a přišla od těch největších jmen v tech komunitě.
Louis Rossmann, známý zastánce práva na opravu (Right to Repair) s 2,5 miliony odběratelů na YouTube, natočil video, ve kterém Bambu Lab řekl doslova „jděte do …“ a nabídl 10 000 dolarů na Jarczakovu právní obranu. Kód OrcaSlicer-BambuLab nahrál na svůj GitHub pod organizací FULU (Freedom from Unethical Limitations).
Gamers Nexus, jeden z nejrespektovanějších tech kanálů na YouTube, šel ještě dál. Steve Burke zveřejnil článek s názvem, který netřeba překládat, nabídl dalších 10 000 dolarů na právní obranu a Jarczakův kód taky hostuje na svém GitHubu. A hlavně – GN oznámil, že přechází z Bambu tiskáren na Prusa. Objednali Prusa vybavení za 5 000 dolarů a plánují Bambu tiskárny postupně vyřadit.
Jeff Geerling, open-source vývojář a populární recenzent hardwaru s milionem odběratelů, napsal rozsáhlý článek o tom, jak Bambu Lab zneužívá open-source společenskou smlouvu. Natočil video s názvem „Už si nikdy nekoupím 3D tiskárnu od Bambu Lab“ a svou vlastní tiskárnu Bambu Lab P1S odpojil od internetu, zablokoval ji na firewallu a přešel na OrcaSlicer.
Přidal se i Snapmaker, konkurenční výrobce, který Jarczakovi daroval tiskárnu Snapmaker U1 s open-source firmwarem Klipper pro jeho další vývoj.
Právní komentář přidal i Leonard French, copyrightový advokát a YouTuber, který situaci označil jako učebnicový příklad „progresivního ohrazování“ – strategie, kdy výrobci postupně pomocí softwarových zámků proměňují jednorázový prodej hardwaru na průběžně zpoplatňované služby.
Proč by vás to mělo zajímat, i když netisknete
Tenhle příběh není jen o 3D tisku. Je to ukázka modelu, který se opakuje v celém tech průmyslu: firma vezme open-source práci komunity, postaví na ní komerční produkt, a pak se snaží zamknout ekosystém tak, aby na něm byla závislá. Když se někdo pokusí využít práva, která mu open-source licence dává, dostane právní výhružku.
Pro běžného uživatele to znamená: koupíte si tiskárnu a za rok vám výrobce může aktualizací firmwaru odříznout software, který jste dosud používali. A když se někdo pokusí tu funkčnost obnovit, firma ho zažene právníky.
Čínské zákony a proč na tom záleží
Existuje ještě jeden rozměr, o kterém se moc nemluví. Bambu Lab je čínská firma (se sídlem v Šen-čenu) a podléhá čínské legislativě. Ta obsahuje několik zákonů, které jsou relevantní pro každého, kdo tiskárnu připojí k internetu:
Zákon o národní zpravodajské činnosti (2017) – všechny organizace a občané musí spolupracovat se zpravodajskými službami. Zákon zároveň zakazuje o této spolupráci informovat.
Zákon o kryptografii (2020) – komerční šifrování musí být schválené státem. Na vyžádání musí firma poskytnout dešifrovací klíče.
Zákon o bezpečnosti dat (2021) – stát má extrateritoriální dosah na data, která se dotýkají čínských národních zájmů. Jurisdikce sleduje firmu, ne server. Hostování dat v EU nebo USA data nijak nechrání.
Novela zákona o kontrašpionáži (2023) – definice špionáže rozšířena na dokumenty, data a materiály související s národní bezpečností a zájmy. Průmyslová data jsou explicitně v dosahu.
Regulace hlášení zranitelností (2021) – každá objevená softwarová zranitelnost musí být nahlášena do 48 hodin. Data putují na CNNVD, provozovaný 13. úřadem Ministerstva státní bezpečnosti.
Co to znamená v praxi? Bambu Lab routuje vaše tiskové úlohy přes svůj cloud. Když tisknete prototyp produktu, ten soubor projde jejich servery. A čínská legislativa firmě nařizuje spolupracovat se zpravodajskými službami, pokud o to požádají, a ještě o tom nesmí nikoho informovat. Na to ostatně upozornil i český NÚKIB.
Stav trhu: 95 % patří Číně
Šest let poté, co Čína začala masivně dotovat 3D tisk, drží čínské firmy zhruba 95 % světového trhu stolních 3D tiskáren. Prusa Research je jediný západní výrobce, který zbyl. Před pěti lety měla skoro každá evropská země a řada amerických států vlastního výrobce. Všichni jsou pryč.
Není jen Bambu Lab: AGPL porušují i další čínské slicery
Poté, co kauza s Bambu Lab přitáhla pozornost komunity, se Josef Průša rozhodl prověřit AGPL compliance i u ostatních velkých čínských slicerů. Výsledky jsou přinejmenším znepokojivé.
- ❌ FlashForge FlashStudio – uzavřený síťový blob
FlashNetwork - ❌ ElegooSlicer – uzavřený síťový blob
agora_rtm_sdk - ❌ AnycubicSlicerNext –
libbambu_networking+ záhadný druhý neznámý síťový blob - ❌ CrealityPrint –
libbambu_networking+ blobcr_tpmsbez zdrojového kódu, čímž porušuje AGPL
Zajímavé je, že AnycubicSlicerNext i CrealityPrint stahují libbambu_networking přímo od Bambu Lab. Creality navíc tento blob stahuje ze serveru, který sám nekontroluje, bez jakékoli kontroly podpisu – spustí prostě cokoliv, co server pošle. Jde o potenciální bezpečnostní zranitelnost třídy CWE-494. A v kontextu nedávné kauzy: budou Anycubic a Creality čelit cease & desist od Bambu Labu za použití jejich vlastní knihovny? Zmiňuje Josef Průša ve svém postu na X.
U AnycubicSlicerNext je situace ještě záhadnější – jejich releases obsahují cloudový SDK a telemetrický kód, který v žádném veřejném repozitáři zmíněn není a do buildu vstupuje mimo viditelné části build procesu. To si zaslouží hlubší prozkoumání, doplňuje Josef.
Proč mají všechny čínské slicery posedlost uzavřenými síťovými moduly? Síťová komunikace jde vyřešit open-source knihovnami – bez licenčních rizik, bez špatného PR, bez právní odpovědnosti. Technická nedbalost, nebo regulatorní požadavky ze strany Číny? Ukončuje svůj tweet majitel Prusa Research.
Celou absurdní situaci popisuje tento meme
Další pohled do Slicerů
Na stav slicerů se dále podíval podrobněji Vláďa Smitka na X. Na základě průzkumu zdrojových kódů shrnuje stav následovně:
CWE-494, tedy stahování kódu bez ověření integrity, není jen problém Creality. Původ je přímo v Orca Sliceru, odkud si komunikaci s Bambu CDN převzali i další vendoři. Bambu tak může vložit a spustit vlastní kód ve všech slicerech, které si ponechaly původní integraci s API MakerWorld.
Smutné je, že žádný z těchto vendorů po převzetí kódu do Orca Sliceru ničím nepřispěl zpět.
Všichni zároveň upravili jednu důležitou věc: odstranili nebo rozbili možnost opt-outu z cloudu a vypnutí libbambu_networking. Creality ze svého UI úplně odstranilo Stealth Mode. Elegoo nejdřív zakomentovalo ovládací prvky v UI a až později odstranilo i samotné stahování libbambu_networking. FlashForge nastavení v UI ponechal, ale backend pro vypnutí zakomentoval, takže volba fakticky nic nedělá. Anycubic přidal vlastní networking stack, na který se toto nastavení nevztahuje.
Další problém je u Anycubicu: oficiální balíček plně neodpovídá zdrojovému kódu na GitHubu. Obsahuje 13 dalších binárek (a zároveň z něj zmizely Orca branded modely 🙂).
CrealityPrint má navíc velmi agresivní telemetrii. Odesílá přes 70 různých eventů do čínského SaaS Sensors Analytics / 神策, podle všeho bez jasného consentu. Tvrdí sice, že jde o anonymní data, ale zároveň posílá údaje použitelné k identifikaci uživatele, například device_id, user_id, informace o tisknutých modelech, nastavených tiskárnách a další data. Privacy dialog se navíc zřejmě prakticky nikdy nezobrazí.
Shrnutí dopadů libbambu_networking: slicery tím Bambu zpřístupňují veřejnou IP adresu, použitý slicer a frekvenci jeho používání. Po přihlášení do MakerWorldu – přičemž není jisté, že všichni uživatelé vědí, že jde o službu Bambu – lze tato data spárovat s identitou uživatele, informacemi o tiskárně, tisknutými modely a nastavením sliceru.
A hlavně: přes update libbambu_networking může být do počítače stažen libovolný kód, který se při spuštění sliceru následně vykoná.
Co si z toho odnést
Pokud si kupujete 3D tiskárnu, zvažte nejen cenu a specifikace, ale i to, jak se firma chová ke komunitě, která jí pomohla vzniknout. Bambu Lab dělá skvělý hardware – to nikdo nerozporuje. Ale jejich přístup k open-source, zamykání ekosystému a právní výhružky jednotlivým vývojářům ukazují směr, kterým se firma ubírá.
Pokud zbyde v celém sektoru jen jedna dominantní firma s 3D tiskem, stane se 3D tisk monopolem jedné firmy. A víme, jak to s monopolem chodí… Absolutní závislost.
Josef Průša se ke kauze vyjádřil na síti X, kde upozornil na porušování AGPL licence a propojil ho s pěticí čínských zákonů, kvůli kterým by měl být opatrný každý, kdo čínskou tiskárnu připojí k internetu.
O stejné problematice napsal i Jakub Čížek na živě.cz
SFC 18. května oznámila, že u Bambu Labu potvrdila dvě samostatná porušení AGPLv3. První je starší než celá Jarczakova kauza: Bambu už roky distribuuje uzavřenou síťovou knihovnu libbambu_networking spolu s Bambu Studiem, aniž by zveřejnil její zdrojový kód – to podle SFC porušuje požadavek licence dodat kompletní odpovídající zdroj. Druhé porušení je podle SFC samotná právní výhružka vůči Jarczakovi, protože AGPLv3 zakazuje přidávat další omezení nad práva, která licence dává.
SFC zároveň spustila projekt baltobu – reverse-engineering oné síťové knihovny, údržbu Jarczakova forku OrcaSliceru a vývoj náhradního forku Bambu Studia. Jarczak se připojil jako spolupracovník. Na financování dlouhodobé práce otevřela SFC sbírku s cílem 250 007 USD.
Jarczak mezitím odmítl 10 000 USD na právní obranu od Louise Rossmanna, ale svolil k rehostování kódu – Rossmannova FULU Foundation fork oficiálně znovu zveřejnila 14. května. Najdete ho na GitHubu FULU Foundation.
Z komunitní vlny se tak stalo organizované právní přezkoumání, na které bude Bambu Lab muset formálně odpovědět.
Komentáře na sítích