Bambu Lab lässt OrcaSlicer-Fork entfernen und verhilft ihm zu einer größeren Reichweit
Das angespannte Verhältnis zwischen einer bestimmten Gruppe von Bambu Lab-Nutzern und dem Unternehmen selbst rückte diesen Monat in den Fokus, nachdem Bambu Lab einen unabhängigen Entwickler unter Druck gesetzt hatte, einen OrcaSlicer-Fork offline zu nehmen, der den Slicer wieder mit der Cloud-Infrastruktur von Bambu Lab verband.
Der Entwickler Paweł Jarczak veröffentlichte im April OrcaSlicer-bambulab und zog damit schnell die Aufmerksamkeit von Bambu Lab auf sich. Das Unternehmen stufte den Slicer als inakzeptables Risiko für seine Cloud-Infrastruktur ein. Der Fork, der auf dem Open-Source-Programm OrcaSlicer basierte und mit Code von Bambu Studio kombiniert wurde (beides sind Projekte, die unter der Affero General Public License, AGPL, veröffentlicht wurden), stellte den Cloud-Druckzugriff wieder her — eine Funktion, die Bambu Lab bei Änderungen im vergangenen Jahr aus Software von Drittanbietern entfernt hatte. Etwa eine Woche nach der Veröffentlichung des Repositorys nahm Jarczak es wieder offline und hinterließ eine Notiz auf der Seite. Darin behauptete er, Bambu Lab habe in einer Mitteilung mit einer von den Anwälten des Unternehmens vorbereiteten Unterlassungserklärung („Cease-and-Desist“) gedroht, sollte er die Software nicht aus dem Netz nehmen.
Hinter den Schlagzeilen verbirgt sich ein Entwickler, der sich aktiv als Open-Source-Entwickler an genau den Produkten beteiligt hat, die im Zentrum des Streits stehen. Jarczak erklärte gegenüber All3DP: „Öffentliche Diskussionen können dies leicht wie ein großes ‚Hacker-Drama‘ aussehen lassen. So sehe ich mich aber nicht. Ich bin nur ein normaler Typ, der gerne Menschen hilft“. Er erläuterte, dass er ein Kunde von Bambu Lab und Nutzer der Linux-Version von Bambu Studio sei und in der Vergangenheit bereits Bugfixes über offizielle Kanäle beigesteuert habe.
„Während der Arbeit mit einem lokal kompilierten Bambu Studio stellte ich fest, dass der Netzwerkpfad unter Linux normal funktionierte. Da OrcaSlicer ebenfalls aus derselben Open-Source-Code-Familie von PrusaSlicer/Slic3r/Bambu Studio stammt, sah ich keinen offensichtlichen Grund, warum der öffentliche Code-Pfad von Bambu Studio dort nicht ebenfalls angepasst werden könnte“. Er stellt klar: „Alles, woran ich persönlich gearbeitet habe, basierte auf dem öffentlich zugänglichen Quellcode von Bambu Studio“.
Zum Hintergrund: Im Januar 2025 entfernte Bambu Lab den API-Pfad, den OrcaSlicer und jede andere Drittanbieter-Software für die direkte Cloud-Kommunikation nutzten, und ersetzte ihn durch Bambu Connect – eine herstellerspezifische Middleware, die Dateien an den Drucker weiterleitet, jedoch die externe Laufzeitsteuerung („Remote Runtime Control“) entfernt. Dieser Schritt beschränkte die Befehle, die über die Cloud des Unternehmens an die Drucker gesendet werden konnten, faktisch auf Bambu Studio und Drittanbieter, die Bambu Connect als zusätzlichen Schritt im Prozess integrieren.
Es war eine umstrittene Maßnahme, nicht zuletzt wegen der unspezifischen Behauptungen über Sicherheitsverbesserungen, die damit einhergingen — und weil das neue System, das Bambu Lab als sicher bezeichnete, innerhalb von 24 Stunden kompromittiert wurde, als ein Sicherheitsforscher den privaten Schlüssel extrahierte, der zum Signieren kritischer Operationen verwendet wurde.
Für einige Nutzer der Drucker des Unternehmens, die OrcaSlicer bevorzugen, bleibt dies ein wunder Punkt. Das OrcaSlicer-Projekt weigerte sich, den neuen Steuerpfad von Bambu Lab zu integrieren, und seitdem besteht zwischen beiden Parteien eine spürbare Distanz.
Hinweis: OrcaSlicer kann weiterhin verwendet werden, um Druckaufträge vorzubereiten und an Bambu Lab-Hardware zu senden. Lediglich das Remote-Senden von Druckaufträgen sowie die Steuerung der Maschinen über die Cloud des Unternehmens sind nicht mehr möglich. Die Nutzung der Drucker im LAN- oder Entwicklermodus („Developer Mode“) — ein Zugeständnis an diejenigen, die über die anfängliche Firmware-Änderung besorgt waren — bleibt weiterhin möglich; allerdings verliert man dadurch den Aspekt des vollständigen Ökosystems, das für viele Nutzer einer der Hauptgründe für die Wahl eines Bambu Lab-Druckers ist. Für einige stellte dieser Schritt eine inakzeptable Hürde dar und veränderte den Charakter der von ihnen gekauften Maschinen.
Jarczaks Slicer funktionierte, weil der pfadseitige Zugang von Bambu Studio unter Linux noch nicht aktualisiert worden war, um die Restriktionen von 2025 widerzuspiegeln, so der Entwickler. Er behauptet, keine Änderungen am verwendeten Code vorgenommen zu haben. Das Argument lautet hier, dass Bambu Lab gewissermaßen versäumt hatte, eine der Türen zu verschließen, die angeblich nicht mehr zugänglich war. In einem am 7. Mai veröffentlichten Blogbeitrag geht Bambu Lab in mehr Detail auf die Ereignisse ein. Darin heißt es, dass der Slicer-Fork funktionierte, indem er seinen HTTP-User-Agent-String so einstellte, dass er sich gegenüber den Bambu-Servern als offizielle Bambu Studio-Software ausgab und nicht als OrcaSlicer-Derivat – wodurch er eine serverseitige Client-Identitätsprüfung umging.
Gemäß der Notiz von Jarczak hieß es in der Mitteilung von Bambu Lab, dass eine Unterlassungserklärung vorbereitet worden sei. Zudem wurde behauptet, seine „Implementierung“ habe: sich als Bambu Studio ausgegeben; deren Autorisierungskontrollen umgangen; gegen die Nutzungsbedingungen verstoßen; Reverse Engineering beinhaltet; und es modifizierten Forks potenziell ermöglicht, willkürliche Befehle an Drucker zu senden.
Er akzeptierte diese Anschuldigungen nicht als erwiesene Tatsachen. Nachdem er das Unternehmen um spezifische Details zu den angeblichen Verstößen und um Erlaubnis gebeten hatte, die Konversation zu teilen, lehnte Bambu Lab laut Jarczak seine Bitte ab, den Schriftverkehr zu veröffentlichen. Er entfernte die Software von GitHub, doch zu diesem Zeitpunkt hatten der Fork und die Reaktion von Bambu Lab bereits begonnen, Aufmerksamkeit auf sich zu ziehen.
Ob die Beschwerdeliste des Unternehmens vor Gericht Bestand haben würde, ist umstritten. Am 6. Mai veröffentlichte der Anwalt für geistiges Eigentum, Leonard „Lawful Masses“ French, auf YouTube eine umfassende 19-minütige juristische Analyse von Bambu Labs Vorgehen. Basierend auf Jarczaks Schilderung des Schriftverkehrs stellte er die These auf, dass die Anschuldigungen von Bambu Lab einer gerichtlichen Prüfung möglicherweise nicht standhalten würden.
Einen Tag später, am 7. Mai, brach Bambu Lab sein Schweigen mit einem Blogbeitrag und äußerte sich zu der Situation mit der erklärten Absicht, „einige Punkte zu klären, die etwas falsch interpretiert wurden oder unbeabsichtigt verwirrend waren“.
Der Beitrag beginnt mit der Feststellung des Offensichtlichen: Jeder kann einen Fork des unter der AGPL lizenzierten Codes von Bambu Studio erstellen, ihn modifizieren und verbreiten. Das Unternehmen merkt an, dass dies bereits bei rund 734 Forks der Fall sei. Die angedrohte Unterlassungserklärung hatte nach Jarczaks Darstellung die Erstellung des Forks an sich als problematisch eingestuft. Der Blogbeitrag geht jedoch nicht auf diese Diskrepanz ein, sondern beschränkt die Beschwerde spezifisch auf das User-Agent-Spoofing — dargestellt als Identitätsfälschung des Clients –, was potenziell die Stabilität der Cloud-Infrastruktur des Unternehmens bedroht.
Bambu Lab argumentiert, dass es bei diesem Schritt darum gehe, die Integrität seiner Cloud-Plattform, die es als privaten Dienst beschreibt, vor unkontrolliertem Datenverkehr zu schützen. Jarczaks Fork „funktionierte durch das Einschleusen gefälschter Identitäts-Metadaten in die Netzwerkkommunikation“, behauptet der Blogbeitrag. Die Begründung aus dem Jahr 2025 für die ursprüngliche Änderung der Steuerung konzentrierte sich darauf, an den Drucker gesendete Remote-Befehle abzusichern sowie „30 Millionen unautorisierte Anfragen pro Tag“ zu verwalten. Die Stellungnahme aus dem Jahr 2026 rückt hingegen die Dienstintegrität in den Mittelpunkt – „die Stabilität unserer Cloud-Infrastruktur“ –, ohne die auf Druckersicherheit bezogene Argumentation von 2025 zu erwähnen.
Am 10. Mai sagte Louis Rossmann, ein Verfechter des Rechts auf Reparatur (Right-to-Repair), seine Hilfe zu, falls Jarczak den Code erneut veröffentlichen sollte und Bambu Lab versuchen würde, ihn zu verklagen. Er erklärte: „Wenn Bambu Lab gegen dich vorgeht, weil du deinen Code online lässt, bin ich von deinem Fall so überzeugt, dass ich die ersten 10.000 US-Dollar zahlen werde.“ Diese Haltung zieht sich wie ein roter Faden durch viele der Forenbeiträge, die zur Diskussion über den Fork und die Reaktion von Bambu Lab eröffnet wurden. Jarczak sagte gegenüber All3DP: „Viele Leute sagen mir ständig: ‚Kämpf gegen sie‘, ‚Verklag sie‘ und so weiter. Aber ich bin Programmierer. Ich baue gerne Dinge, löse Probleme und sehe, dass etwas für die Leute funktioniert. Ich mag keine Rechtsstreitigkeiten und habe keine Freude an dem Gedanken, jemanden zu verklagen.“
Jarczak weist die Behauptung von Bambu Lab zurück, dass seine Arbeit zu „DDoS-ähnlichen Lastmustern“ führen und Hackern die Arbeit erleichtern könnte. „Wenn Bambu Lab der Meinung ist, dass ein ernsthaftes Sicherheitsproblem in einem Pfad besteht, der in ihrer eigenen Software noch vorhanden ist, dann sollte das auf ihrer Seite behoben werden. Juristischen Druck auf einen einzelnen Open-Source-Beitragenden auszuüben, scheint nicht der richtige Weg zu sein, um damit umzugehen“.
Wie man es auch betrachtet, ist dies ein weiteres Kapitel in den ständigen Reibereien zwischen Power-Usern, die ihr Recht wahrnehmen, ihre Hardware nach eigenem Ermessen zu nutzen (innerhalb der Lizenzgrenzen und des entsprechenden Rahmens), und Marken, insbesondere solchen mit ausgeprägten, geschlossenen Ökosystemen, die ihre Grenzen nach Belieben festlegen. Diese beiden Motive gehen selten Hand in Hand. Im Fall von Bambu Lab hat die Androhung rechtlicher Schritte gegen einen unabhängigen Entwickler, der in der Vergangenheit Beiträge zu genau diesem Ökosystem geleistet hat, nun mehr Aufmerksamkeit auf das Thema gelenkt, als dem Unternehmen wahrscheinlich lieb gewesen wäre.
Auf Anfrage erklärte ein Vertreter von Bambu Lab, das Unternehmen habe über die im Blogbeitrag veröffentlichten Aussagen hinaus keinen weiteren Kommentar abzugeben. Das Unternehmen schließt den Beitrag mit einem Hinweis auf sein Bug-Bounty-Programm ab und ermutigt die Nutzer, gefundene Probleme und Exploits zu melden.
Auch interessant:
Lizenz: Der Text von "Bambu Lab lässt OrcaSlicer-Fork entfernen und verhilft ihm zu einer größeren Reichweit" von All3DP unterliegt der Creative Commons Attribution 4.0 International License.