我的開源代碼被大公司盜用后：有人承認，有人讓我滾

自己辛辛苦苦寫的代碼被他人不聲不響拿去商用賣錢，這對很多人來說都是非常惱火的事情。最近，業(yè)界資深網絡安全專家 Patrick Wardle 在 Black Hat 的分享中講述了自己的開源代碼在不被告知的情況下被至少三家獨立公司使用的事情。

Patrick Wardle 是非常優(yōu)秀的 macOS 安全研究人員，也是蘋果公司重點關注的 OBTS 安全會議組織者。他還是專為 macOS 創(chuàng)建開源安全工具的非營利組織 Objective-See 基金會的創(chuàng)始人，這意味著 Wardle 的許多軟件代碼現(xiàn)在可以免費下載和修改，但這也使自己的代碼未被允許就被一些科技公司拿去了，他也是在多年后才發(fā)現(xiàn)的。

Wardle 以 Mac 惡意軟件專家而聞名，曾在國家安全局擔任惡意軟件分析師一職。在此期間，他分析了攻擊國防部計算機系統(tǒng)的代碼，并創(chuàng)建了可以查看攝像頭和麥克風是否被惡意軟件操縱的 macOS 工具 OverSight，并通過 Objective-See 免費發(fā)布了該工具。

當時是 2016 年，媒體曝出網絡犯罪分子使用惡意軟件通過用戶的 macOS 網絡攝像頭和麥克風秘密監(jiān)視人們。其中，一名黑客使用了一款名為“Fruitfly”的惡意軟件劫持了筆記本電腦的網絡攝像頭，目的是監(jiān)視兒童。在對新病毒進行了數(shù)月的分析后，Patrick Wardle 解密了部分代碼并設置了一個服務器來攔截來自受感染計算機的流量。

然而幾年后，Wardle 為客戶分析可疑代碼時，在客戶自己設備上的一個工具中發(fā)現(xiàn)了問題。該工具由一家大型科技公司開發(fā)，提供了與 OverSight 類似的功能，包括監(jiān)控 macOS 網絡攝像頭和麥克風。

通過篩選程序，Wardle 找到了他非常熟悉的代碼，他的整個“監(jiān)督”算法，包括他未刪除的 bug，都包含在這個程序中。他終于意識到，某個開發(fā)人員對他的工具進行了逆向工程，竊取了他的成果，并將其重新用在了一個名字不同但功能幾乎相同的產品中。

“就像有人抄了你寫的東西，還把你的拼寫和語法錯誤也抄了過去?！盬ardle 說道。后來，Wardle 的客戶立即聯(lián)系了該公司，提醒了他們的開發(fā)人員竊取了 Wardle 的代碼。

這并不是 Wardle 最后一次發(fā)現(xiàn)有公司使用他的代碼。后來， Wardle 發(fā)現(xiàn)還有兩家大公司也分別在自己的產品中使用了他的算法。Wardle 沒有透露這些公司的名字。

“你聯(lián)系到這些公司，并說：‘嘿，你們這些家伙，大部分都是偷的我的東西。你對我的工具進行了逆向工程并重新實現(xiàn)了算法——這在法律上非常...... 呃，是灰色的。但在歐盟，有一條規(guī)定你這樣做是違法的。我有一個非營利組織，你實際上是從非營利組織中竊取了信息，并將其放到了你自己的商業(yè)代碼中，然后從中獲利。這十分不合適?！盬ardle 說道，“但這些公司回應的態(tài)度都不一樣?！?/p>

“有的回復很友好，我有次收到了一個 CEO 的回復郵件，承認了這一點并詢問如何解決這個問題。但有人先是回復我說需要三周的內部調查，之后便向我表示沒有看到任何相同的代碼，讓我滾?！盬ardle 說道。遇到后者時，Wardle 不得不需要更多證據。

但實際上，證明對方代碼是盜竊來的非常難。Wardle 表示，他必須使用自己的閉源軟件并采用逆向工程來了解那些公司的代碼是如何工作的，并證明那些代碼與自己的相似。此外，Wardle 還與為獨立安全研究人員提供無償法律服務的非營利性電子前沿基金會 (EFF) 合作。

Wardle 能夠弄清楚是否為盜竊代碼是因為他自己既編寫工具又編寫逆向工程軟件，同時掌握這兩門專業(yè)知識讓他更容易找到證據。但像 Wardle 一樣擁有這種技術背景，同時在社區(qū)還有一定影響力的開發(fā)者并不多，在維護權益方面常常處于弱勢。

在去年，一位名叫 Brendan Gregg 開發(fā)者公開了自己寫的 DTrace 項目相關開源代碼被 Sun 公司“偷走”的往事。那是更早的 2005 年，Gregg 忙著編寫和發(fā)布 DTrace 相關的高級性能工具，然后發(fā)現(xiàn) Sun 公司發(fā)布的相關工具竟然比自己發(fā)布的還少。

Gregg 不是 Sun 的員工，不清楚公司內部運作，但他還負責為 Sun 提供培訓與咨詢支持。有一次，Sun 為其演示了基于 DTrace 打造的新產品，也就是在這個過程中，Gregg 發(fā)現(xiàn)其中一些工具是自己編寫的腳本，而且這些工具非常不成熟，是自己當年隨手寫了就對外開源的，里面有很多奇怪的組合，個人風格強烈。Gregg 還發(fā)現(xiàn)，Sun 還把他作為作者的名字刪掉了。但最后 Gregg 也沒有得到什么補償。

相比 Sun 公司的行為，蘋果和甲骨文的做法就讓 Gregg 舒服很多。Gregg 表示，幾年后，蘋果把他幾十款工具添加進了 OS X 系統(tǒng)中，并完整保留了作者的姓名、版權以及 CDDL 開源許可證，甚至還對功能進行了改進與增強。多年之后，甲骨文在 Oracle Solaris 11、BSD 社區(qū)在 FereBSD 上也采取了同樣的開源成果吸納方式。

事實上，這樣盜用他人開源代碼為自己謀利的案例有很多。去年，特朗普支持的社交媒體平臺 Truth 被 Mastodon 創(chuàng)始人告上法庭。Mastodon 的創(chuàng)始人 Eugen Rochko 稱，該應用程序稱從自己的開源項目中提取了大量代碼。當時，網友們發(fā)現(xiàn) Truth 測試版的界面與 Mastodon 基本相同，而且該網站的部分代碼與其他社交網絡的代碼沒有任何差異。

特朗普媒體與技術集團 (TMTG) 此前還稱 Truth 為“專有軟件”，并試圖隱藏 Truth 基于 Mastodon 的事實。這件事情被曝光后，其相關股價隨之大跌。

事實上，開源軟件本身允許其他平臺使用自己的代碼，但開源軟件的許可證要求使用者將他們的源代碼和做的任何修改提供給公眾。但很多公司在使用了代碼之后沒有任何說明。

Wardle 認為，導致這種現(xiàn)象的本質是開發(fā)人員的任務就是找到某種解決方法，比如監(jiān)控麥克風和攝像頭，然后他們就找到相應的工具進行逆向工程并竊取算法，而公司的目的就要解決方案，并不會追問代碼的來處。

“我相信這是一個系統(tǒng)性問題，因為當我開始尋找時，我不是只找到了一個，而是好幾個，這些公司還都完全不相關?！盬ardle 認為代碼盜竊的做法非常普遍。

對此，Wardle 建議，對于軟件開發(fā)人員來說，任何編寫代碼（無論是開源代碼還是閉源代碼）的人都應該假設它會被盜，并學習有助于他們發(fā)現(xiàn)這種情況的技術。對于公司而言，管理者應該教育員工或開發(fā)人員不要偷竊，并讓他們認真了解圍繞對一個產品逆向工程以獲取商業(yè)利益的法律規(guī)范，否則將整個組織將面臨法律風險。

此類事件的發(fā)生也在不斷提醒人們，一定要規(guī)范使用開源軟件的代碼，否則對公司名譽、實際利益都沒有好處。

參考鏈接：

https://gizmodo.com/black-hat-what-to-do-big-tech-company-steals-your-code-1849378076

https://www.theverge.com/2021/10/29/22752850/mastodon-trump-truth-social-network-open-source-gab-legal-notice