Josef Prusa, nhà sáng lập kiêm CEO của Prusa Research, vừa công khai cáo buộc Bambu Lab — hãng máy in 3D Trung Quốc đang tăng trưởng mạnh toàn cầu — vi phạm giấy phép AGPL-3.0 ngay từ khi fork PrusaSlicer. Đáng chú ý hơn, ông cảnh báo rằng plugin mạng của Bambu Studio hoạt động như một "hộp đen" không thể kiểm toán, có thể bị thay thế từ xa qua CDN mà người dùng không hay biết.

Bambu Studio và cáo buộc "tách một sản phẩm thành hai file để lách luật"

PrusaSlicer được phát triển dựa trên nền tảng Slic3r của Alessandro Ranellucci và được phát hành theo giấy phép AGPL-3.0 — một dạng giấy phép copyleft mạnh, yêu cầu mọi phần mềm phái sinh cũng phải được công bố dưới dạng mã nguồn mở. Bambu Studio là một fork của PrusaSlicer; OrcaSlicer lại là fork tiếp theo từ Bambu Studio. Ngoài ra, các slicer của Anycubic, Creality, Elegoo, Flashforge, Snapmaker và Sovol cũng đều có nguồn gốc từ cùng hệ phả này.

Theo Prusa, vấn đề không nằm ở việc Bambu Lab fork phần mềm — điều đó hoàn toàn hợp lệ — mà ở chỗ plugin mạng của Bambu Studio là mã nguồn đóng (closed-source). Bambu Lab phản bác rằng slicer và plugin mạng là "hai tác phẩm riêng biệt", do đó không bị ràng buộc bởi AGPL. Prusa bác lại lập luận này:

"Bambu Studio không thể hoạt động đúng chức năng nếu thiếu plugin, và plugin cũng vô dụng nếu không có Bambu Studio. Đây không phải hai sản phẩm tình cờ giao tiếp với nhau — đây là một sản phẩm duy nhất bị tách thành hai file chỉ để lách giấy phép (license-laundering). Theo AGPL, đây vẫn là vi phạm."

Cần lưu ý: Bambu Studio về mặt kỹ thuật có thể hoạt động ở chế độ LAN hoặc qua thẻ SD/USB mà không cần kết nối cloud. Tom's Hardware nhận định điều này làm cho lập luận của Prusa "yếu đi một chút". Tuy nhiên, thực tế là phần lớn người dùng mới của Bambu Lab phụ thuộc vào tính năng in qua cloud từ ứng dụng điện thoại thông qua MakerWorld — đây chính là điểm hấp dẫn cốt lõi của hệ sinh thái này.

Plugin mạng "hộp đen": Rủi ro bảo mật không thể bỏ qua

Điểm Prusa nhấn mạnh mạnh mẽ hơn cả vấn đề giấy phép là nguy cơ bảo mật từ plugin mạng:

  • Plugin được tải xuống từ CDN, không phải đi kèm trực tiếp với phần mềm
  • Có thể bị thay thế từ xa ngay khi máy in khởi động mà người dùng không được thông báo
  • Không có cách nào để kiểm tra mã nguồn, tức là không ai biết plugin đang thực sự làm gì

Với người dùng cá nhân in mô hình thông thường, rủi ro này có thể chấp nhận được. Nhưng với doanh nghiệp, kỹ sư, hay nhà thiết kế đang làm việc với dữ liệu nguyên mẫu nhạy cảm, đây là vấn đề nghiêm túc cần cân nhắc. Máy in 3D ngày càng xuất hiện nhiều trong các xưởng R&D, phòng lab kỹ thuật — nơi dữ liệu thiết kế có giá trị cao.

Đối với người dùng tại Việt Nam đang sử dụng Bambu Lab trong môi trường chuyên nghiệp, một số biện pháp có thể cân nhắc:

  • Chuyển sang chế độ LAN thay vì in qua cloud
  • Truyền file qua thẻ SD hoặc USB để tránh hoàn toàn plugin mạng
  • Rà soát lại chính sách bảo mật nội bộ liên quan đến đường truyền và nơi lưu trữ dữ liệu thiết kế

Từ năm 2021 đến nay: Tại sao Prusa không kiện?

Prusa Research đã phát hiện ra Bambu Lab từ năm 2021 — trước cả khi hãng này ra mắt sản phẩm chính thức. Khi Prusa tích hợp tính năng telemetry ẩn danh vào PrusaSlicer, họ phát hiện trong cơ sở dữ liệu có các entry mang nhãn "BambuSlicer" — hóa ra là bản build nội bộ của Bambu Lab đang vô tình gửi dữ liệu về máy chủ của Prusa.

Dù vậy, Prusa Research đã không tiến hành kiện tụng. Lý do được Prusa đưa ra: phần mềm rất khó bảo vệ về mặt pháp lý, không giống hàng hóa vật lý có thể bị chặn tại hải quan. Ông thẳng thắn thừa nhận: "Giấy phép không có cơ chế thực thi hiệu quả thực chất chỉ là lời đề nghị. Đó là lý do Bambu thoát được."

Đến nay, vẫn chưa có phán quyết tư pháp hay công nhận chính thức nào về việc vi phạm. Tom's Hardware cũng dùng từ "allegedly violates" (bị cáo buộc vi phạm) trong tiêu đề — mức độ chắc chắn này cần được đọc đúng nghĩa.

Vụ OrcaSlicer và làn sóng phản ứng từ cộng đồng

Phát biểu của Prusa xuất hiện trong bối cảnh một sự kiện gây tranh cãi lớn: Bambu Lab gửi thư cease and desist đến lập trình viên độc lập Paweł Jarczak, người đã tạo một fork của OrcaSlicer cho phép kết nối lại với máy in Bambu sau khi hãng này thay đổi firmware để yêu cầu xác thực bắt buộc.

Bambu Lab cáo buộc Jarczak reverse engineering phần mềm độc quyền và giả mạo Bambu Studio. Jarczak phản bác rằng User-Agent chỉ là metadata tự khai báo của client, không phải cơ chế xác thực — bất kỳ chương trình nào cũng có thể đặt User-Agent tùy ý.

Phản ứng từ cộng đồng công nghệ quốc tế rất gay gắt:

  • Jeff Geerling, Louis Rossmann, Gamers Nexus — những YouTuber công nghệ có hàng triệu người theo dõi — đồng loạt lên tiếng chỉ trích Bambu Lab
  • Rossmann tuyên bố sẵn sàng chi 10.000 USD hỗ trợ pháp lý cho Jarczak nếu Bambu Lab đưa vụ việc ra tòa
  • Nhiều người dùng tuyên bố sẽ không mua sản phẩm Bambu Lab trong tương lai

Thay đổi firmware và tác động đến công cụ bên thứ ba

Gốc rễ của toàn bộ tranh cãi là thay đổi firmware từ đầu năm 2025, khi Bambu Lab bắt đầu yêu cầu xác thực bắt buộc cho hầu hết thao tác điều khiển từ xa:

Dòng máyThời điểm áp dụng
X1 SeriesFirmware 01.08.03.00 (từ 23/1/2025)
A1 SeriesFirmware 01.05.00.00 (3/6/2025)
A & P SeriesHoàn tất khóa vào tháng 6/2025

Các thao tác trực tiếp trên máy và in từ thẻ SD không bị ảnh hưởng. Tuy nhiên, Panda Touch — thiết bị màn hình cảm ứng độc lập rất phổ biến với người dùng dòng P — đã bị ảnh hưởng nặng nề. BigTreeTech, nhà sản xuất Panda Touch, khuyến cáo người dùng không cập nhật firmware thêm nữa để giữ khả năng tương thích.

Nhìn tổng thể, đây là tranh cãi nhiều tầng: vừa là câu chuyện về giấy phép mã nguồn mở, vừa là vấn đề bảo mật dữ liệu, vừa là cuộc đối đầu giữa hệ sinh thái mở và chiến lược kiểm soát nền tảng của một hãng đang tăng trưởng nhanh. Prusa có lợi ích cạnh tranh trực tiếp khi đưa ra những cáo buộc này — điều đó không có nghĩa là cáo buộc sai, nhưng người đọc cần tự cân nhắc. Trong khi chờ đợi phán quyết pháp lý hoặc kiểm chứng kỹ thuật độc lập, người dùng Bambu Lab — đặc biệt trong môi trường doanh nghiệp — nên chủ động xem xét lại cấu hình vận hành của mình.

Nguồn