Malus.sh 是这样一个服务:拿一个开源库,做一次 AI 辅助的"净室"重写,然后用买家想要的任何许可证发布——通常是 MIT 或 BSD,刻意剥离原项目的 copyleft 或归属要求。这个工具自己网站上的推销话术毫不掩饰:"法律上独立的代码,企业友好的许可证。无归属。无 copyleft。无麻烦。"联合创始人 Mike Nolan,一位曾研究开源政治经济学的联合国研究员,运营着背后的有限责任公司。最早引起开发者关注的具体案例:chardet,那个广泛使用的 Python 字符编码检测库,上个月被用 Anthropic 的 Claude Code 重写,并以一个跟原项目历史毫无关系的 MIT 许可证重新发布。
这个法律理论真的很老,也真的很牢靠。净室逆向工程是产生了 IBM 兼容 PC 产业的那个原则:一个团队规定软件做什么,另一个独立团队从那些规范出发写新代码,从来不看原始代码,由此产生的代码因为没有发生复制而不侵犯原始代码的版权。Phoenix Technologies 在 80 年代搭了一个净室 BIOS 并经受住了法律挑战。Compaq 做了同样的事。这个原则坚持了四十年。2026 年改变的是成本:以前一次重写需要一支中国墙团队加几个月的严谨流程,现在一个工程师可以用几天做完,让一个 LLM 干重活。开发者 Dan Blanchard 在评论 chardet 事件时说得很直白:"我不觉得这个时候还能把精灵塞回瓶子里。"
法律理论里没说出口的漏洞是:AI 辅助的重写是否真的算净室。经典原则假设重写团队对原代码零接触。Claude Code、GPT-5 和市场上每一个其他代码模型都是在大量公共源代码上训练的,包括 chardet,包括 Malus.sh 大概最有用的那些 GPL 库。当你叫这种模型"按这些规范重写这个库",模型可能没把原文件打开,但它在训练时读过,并且可能重现结构、注释,甚至逐字片段。还没有法庭测试过这是否构成衍生作品,目前正在系统里走的 AI 训练案件大多关于输出的相似度,而不是介于中间的那个问题:训练得来的知识是否算作访问。Malus.sh 招来的第一起诉讼,会成为这个问题的测试案例。
对开发者来说,实际的解读是:这件事比 chardet 大,比版权大。开源的隐含协议——你拿我的代码,你尊重我的许可证——是把整个生态拼在一起的唯一东西,它依赖一种现在已经很便宜就能绕过的社会规范。许可证剥离一直是可能的;只是需要的工作量足以让大多数公司选择遵守或付费。AI 把那个工作量压缩了一个数量级。维护者可用的防守招数有限:和商业条款双重授权、对项目名注册商标(你可以克隆代码,但不能叫它 chardet),以及给项目基金会起诉资格的贡献者协议。这些都不能帮已经使用宽松许可证的库。诚实的答案是:在尘埃落定之前,生态需要新规范、新的来源追踪 tooling,可能还需要新一波法庭裁决。在此期间,精灵确实出来了,唯一的问题是规则追赶上来时会是什么形态。