我的開(kāi)源代碼被大公司盜用后：有人承認(rèn)，有人讓我滾

自己辛辛苦苦寫(xiě)的代碼被他人不聲不響拿去商用賣錢，這對(duì)很多人來(lái)說(shuō)都是非常惱火的事情。最近，業(yè)界資深網(wǎng)絡(luò)安全專家 Patrick Wardle 在 Black Hat 的分享中講述了自己的開(kāi)源代碼在不被告知的情況下被至少三家獨(dú)立公司使用的事情。

Patrick Wardle 是非常優(yōu)秀的 macOS 安全研究人員，也是蘋(píng)果公司重點(diǎn)關(guān)注的 OBTS 安全會(huì)議組織者。他還是專為 macOS 創(chuàng)建開(kāi)源安全工具的非營(yíng)利組織 Objective-See 基金會(huì)的創(chuàng)始人，這意味著 Wardle 的許多軟件代碼現(xiàn)在可以免費(fèi)下載和修改，但這也使自己的代碼未被允許就被一些科技公司拿去了，他也是在多年后才發(fā)現(xiàn)的。

Wardle 以 Mac 惡意軟件專家而聞名，曾在國(guó)家安全局擔(dān)任惡意軟件分析師一職。在此期間，他分析了攻擊國(guó)防部計(jì)算機(jī)系統(tǒng)的代碼，并創(chuàng)建了可以查看攝像頭和麥克風(fēng)是否被惡意軟件操縱的 macOS 工具 OverSight，并通過(guò) Objective-See 免費(fèi)發(fā)布了該工具。

當(dāng)時(shí)是 2016 年，媒體曝出網(wǎng)絡(luò)犯罪分子使用惡意軟件通過(guò)用戶的 macOS 網(wǎng)絡(luò)攝像頭和麥克風(fēng)秘密監(jiān)視人們。其中，一名黑客使用了一款名為“Fruitfly”的惡意軟件劫持了筆記本電腦的網(wǎng)絡(luò)攝像頭，目的是監(jiān)視兒童。在對(duì)新病毒進(jìn)行了數(shù)月的分析后，Patrick Wardle 解密了部分代碼并設(shè)置了一個(gè)服務(wù)器來(lái)攔截來(lái)自受感染計(jì)算機(jī)的流量。

然而幾年后，Wardle 為客戶分析可疑代碼時(shí)，在客戶自己設(shè)備上的一個(gè)工具中發(fā)現(xiàn)了問(wèn)題。該工具由一家大型科技公司開(kāi)發(fā)，提供了與 OverSight 類似的功能，包括監(jiān)控 macOS 網(wǎng)絡(luò)攝像頭和麥克風(fēng)。

通過(guò)篩選程序，Wardle 找到了他非常熟悉的代碼，他的整個(gè)“監(jiān)督”算法，包括他未刪除的 bug，都包含在這個(gè)程序中。他終于意識(shí)到，某個(gè)開(kāi)發(fā)人員對(duì)他的工具進(jìn)行了逆向工程，竊取了他的成果，并將其重新用在了一個(gè)名字不同但功能幾乎相同的產(chǎn)品中。

“就像有人抄了你寫(xiě)的東西，還把你的拼寫(xiě)和語(yǔ)法錯(cuò)誤也抄了過(guò)去。”Wardle 說(shuō)道。后來(lái)，Wardle 的客戶立即聯(lián)系了該公司，提醒了他們的開(kāi)發(fā)人員竊取了 Wardle 的代碼。

這并不是 Wardle 最后一次發(fā)現(xiàn)有公司使用他的代碼。后來(lái)， Wardle 發(fā)現(xiàn)還有兩家大公司也分別在自己的產(chǎn)品中使用了他的算法。Wardle 沒(méi)有透露這些公司的名字。

“你聯(lián)系到這些公司，并說(shuō)：‘嘿，你們這些家伙，大部分都是偷的我的東西。你對(duì)我的工具進(jìn)行了逆向工程并重新實(shí)現(xiàn)了算法——這在法律上非常...... 呃，是灰色的。但在歐盟，有一條規(guī)定你這樣做是違法的。我有一個(gè)非營(yíng)利組織，你實(shí)際上是從非營(yíng)利組織中竊取了信息，并將其放到了你自己的商業(yè)代碼中，然后從中獲利。這十分不合適。”Wardle 說(shuō)道，“但這些公司回應(yīng)的態(tài)度都不一樣。”

“有的回復(fù)很友好，我有次收到了一個(gè) CEO 的回復(fù)郵件，承認(rèn)了這一點(diǎn)并詢問(wèn)如何解決這個(gè)問(wèn)題。但有人先是回復(fù)我說(shuō)需要三周的內(nèi)部調(diào)查，之后便向我表示沒(méi)有看到任何相同的代碼，讓我滾。”Wardle 說(shuō)道。遇到后者時(shí)，Wardle 不得不需要更多證據(jù)。

但實(shí)際上，證明對(duì)方代碼是盜竊來(lái)的非常難。Wardle 表示，他必須使用自己的閉源軟件并采用逆向工程來(lái)了解那些公司的代碼是如何工作的，并證明那些代碼與自己的相似。此外，Wardle 還與為獨(dú)立安全研究人員提供無(wú)償法律服務(wù)的非營(yíng)利性電子前沿基金會(huì) (EFF) 合作。

Wardle 能夠弄清楚是否為盜竊代碼是因?yàn)樗约杭染帉?xiě)工具又編寫(xiě)逆向工程軟件，同時(shí)掌握這兩門(mén)專業(yè)知識(shí)讓他更容易找到證據(jù)。但像 Wardle 一樣擁有這種技術(shù)背景，同時(shí)在社區(qū)還有一定影響力的開(kāi)發(fā)者并不多，在維護(hù)權(quán)益方面常常處于弱勢(shì)。

在去年，一位名叫 Brendan Gregg 開(kāi)發(fā)者公開(kāi)了自己寫(xiě)的 DTrace 項(xiàng)目相關(guān)開(kāi)源代碼被 Sun 公司“偷走”的往事。那是更早的 2005 年，Gregg 忙著編寫(xiě)和發(fā)布 DTrace 相關(guān)的高級(jí)性能工具，然后發(fā)現(xiàn) Sun 公司發(fā)布的相關(guān)工具竟然比自己發(fā)布的還少。

Gregg 不是 Sun 的員工，不清楚公司內(nèi)部運(yùn)作，但他還負(fù)責(zé)為 Sun 提供培訓(xùn)與咨詢支持。有一次，Sun 為其演示了基于 DTrace 打造的新產(chǎn)品，也就是在這個(gè)過(guò)程中，Gregg 發(fā)現(xiàn)其中一些工具是自己編寫(xiě)的腳本，而且這些工具非常不成熟，是自己當(dāng)年隨手寫(xiě)了就對(duì)外開(kāi)源的，里面有很多奇怪的組合，個(gè)人風(fēng)格強(qiáng)烈。Gregg 還發(fā)現(xiàn)，Sun 還把他作為作者的名字刪掉了。但最后 Gregg 也沒(méi)有得到什么補(bǔ)償。

相比 Sun 公司的行為，蘋(píng)果和甲骨文的做法就讓 Gregg 舒服很多。Gregg 表示，幾年后，蘋(píng)果把他幾十款工具添加進(jìn)了 OS X 系統(tǒng)中，并完整保留了作者的姓名、版權(quán)以及 CDDL 開(kāi)源許可證，甚至還對(duì)功能進(jìn)行了改進(jìn)與增強(qiáng)。多年之后，甲骨文在 Oracle Solaris 11、BSD 社區(qū)在 FereBSD 上也采取了同樣的開(kāi)源成果吸納方式。

事實(shí)上，這樣盜用他人開(kāi)源代碼為自己謀利的案例有很多。去年，特朗普支持的社交媒體平臺(tái) Truth 被 Mastodon 創(chuàng)始人告上法庭。Mastodon 的創(chuàng)始人 Eugen Rochko 稱，該應(yīng)用程序稱從自己的開(kāi)源項(xiàng)目中提取了大量代碼。當(dāng)時(shí)，網(wǎng)友們發(fā)現(xiàn) Truth 測(cè)試版的界面與 Mastodon 基本相同，而且該網(wǎng)站的部分代碼與其他社交網(wǎng)絡(luò)的代碼沒(méi)有任何差異。

特朗普媒體與技術(shù)集團(tuán) (TMTG) 此前還稱 Truth 為“專有軟件”，并試圖隱藏 Truth 基于 Mastodon 的事實(shí)。這件事情被曝光后，其相關(guān)股價(jià)隨之大跌。

事實(shí)上，開(kāi)源軟件本身允許其他平臺(tái)使用自己的代碼，但開(kāi)源軟件的許可證要求使用者將他們的源代碼和做的任何修改提供給公眾。但很多公司在使用了代碼之后沒(méi)有任何說(shuō)明。

Wardle 認(rèn)為，導(dǎo)致這種現(xiàn)象的本質(zhì)是開(kāi)發(fā)人員的任務(wù)就是找到某種解決方法，比如監(jiān)控麥克風(fēng)和攝像頭，然后他們就找到相應(yīng)的工具進(jìn)行逆向工程并竊取算法，而公司的目的就要解決方案，并不會(huì)追問(wèn)代碼的來(lái)處。

“我相信這是一個(gè)系統(tǒng)性問(wèn)題，因?yàn)楫?dāng)我開(kāi)始尋找時(shí)，我不是只找到了一個(gè)，而是好幾個(gè)，這些公司還都完全不相關(guān)。”Wardle 認(rèn)為代碼盜竊的做法非常普遍。

對(duì)此，Wardle 建議，對(duì)于軟件開(kāi)發(fā)人員來(lái)說(shuō)，任何編寫(xiě)代碼（無(wú)論是開(kāi)源代碼還是閉源代碼）的人都應(yīng)該假設(shè)它會(huì)被盜，并學(xué)習(xí)有助于他們發(fā)現(xiàn)這種情況的技術(shù)。對(duì)于公司而言，管理者應(yīng)該教育員工或開(kāi)發(fā)人員不要偷竊，并讓他們認(rèn)真了解圍繞對(duì)一個(gè)產(chǎn)品逆向工程以獲取商業(yè)利益的法律規(guī)范，否則將整個(gè)組織將面臨法律風(fēng)險(xiǎn)。

此類事件的發(fā)生也在不斷提醒人們，一定要規(guī)范使用開(kāi)源軟件的代碼，否則對(duì)公司名譽(yù)、實(shí)際利益都沒(méi)有好處。

參考鏈接：

https://gizmodo.com/black-hat-what-to-do-big-tech-company-steals-your-code-1849378076

https://www.theverge.com/2021/10/29/22752850/mastodon-trump-truth-social-network-open-source-gab-legal-notice