ハクソク

世界を動かす技術を、日本語で。

Malus – クリーンルーム・アズ・ア・サービス

49日前原文(malus.sh)

概要

  • オープンソースライセンスの法的・運用上の問題点を指摘
  • Clean Room手法による独自再実装サービスの提案
  • 法的リスクや帰属義務を完全排除する仕組み
  • 料金体系やサービスの流れを明確に説明
  • 企業による導入事例やFAQも掲載

オープンソースの課題

  • Apache Licenseの帰属義務

    • ドキュメント内で「Portions of this software...」の記載が必要
    • メンテナが無償で貢献したとしても、法務部門はクレジット表記に不満

  • AGPLライセンスの伝染性

    • AGPLコードの誤導入で、プロプライエタリなコード全体の公開義務が発生
    • 企業内でAGPL禁止措置が一般化

  • ライセンス管理の負担

    • 数百の依存パッケージのライセンス追跡
    • 法務レビューや外部監査での指摘リスク

  • コミュニティへの還元義務

    • 一部ライセンスでは改良点の公開や還元が必須
    • 株主利益との相反

Clean Roomによる解決策

  • Robot-Powered Clean Room Recreation

    • 独自AIが元ソースコードに一切触れず、公開ドキュメント・API仕様・型定義のみを解析
    • 完全に独立したロボットチームが、機能的に同一なソフトウェアをゼロから再構築
    • 派生物・ライセンス継承・帰属義務なし

  • サービスの特徴

    • 100%ロボットによる新規実装
    • 元ソースコードへの非接触保証
    • 法人向けフレンドリーなライセンス選択可
    • 法的補償付き(特定法域の子会社経由)

Clean Roomプロセス概要

  • ステップ1: 依存マニフェストのアップロード

    • package.json, requirements.txt, Cargo.toml等を提出
    • 依存パッケージの自動抽出・リスト化

  • ステップ2: 分離分析

    • 法務知識を持つロボットがREADME、APIドキュメント、型定義のみを解析
    • ソースコードには一切アクセスせず、クリーンルーム環境を維持

  • ステップ3: 独立再実装

    • 分析チームとは完全に隔離された別チームが、仕様のみを基に新規実装
    • コードのコピー・派生なし

  • ステップ4: ライセンス解放

    • MalusCorp-0 Licenseで納品
    • 帰属・公開・派生物共有など一切不要
    • 企業側の完全所有権

料金体系・サポート内容

  • 従量課金制(pay-per-KB)

    • npm等で各パッケージの解凍サイズ(KB単位)に応じて課金
    • パッケージごと、注文ごとの最低料金設定
    • サブスクリプションや隠れコストなし

  • 含まれるサービス

    • AIクリーンルームによる再実装
    • MalusCorp-0 License付与
    • CSP仕様書一式(10ドキュメント)
    • 1注文あたり最大50パッケージ・10MBまで対応
    • 返金・法的補償保証

導入事例・証言

  • M&Aや法務監査の迅速化

    • AGPL依存847件を3週間で解放し、23億ドルで買収成立
    • 法務コスト400万ドル→5万ドルで大幅削減
    • 2,341 npmパッケージの完全再実装でコンプライアンス一新

  • 利用企業

    • 匿名・NDA・機密指定の大手企業が多数導入

よくある質問(FAQ)

  • 合法性について

    • クリーンルーム方式は法的先例あり
    • ロボットは元ソース未接触で、詳細な監査ログも保持(裁判所提出可)

  • 元開発者への配慮

    • オープンソース公開は開発者の選択
    • 独立実装は合法的権利であり、報酬は企業で得るべき

  • コピーとの違い

    • 意図とプロセスの違い
    • クリーンルームで独立到達した同一機能は問題なし

  • バグ発生時の対応

    • SLAは機能的同等性を保証
    • バグは自己責任、ライセンス上の自由度獲得

  • ロボットの見学

    • 施設所在地は非公開
    • エンタープライズ顧客向けNDA締結後のみツアー可

  • 対応ライセンス

    • MIT, Apache, GPL, AGPL, LGPL, BSD, MPL等、全て解放可能
    • AGPL緊急対応の特別料金も設定

利用の流れ・支払い

  • マニフェストアップロードで即時見積もり
    • npm, PyPI, Cargo, Maven, Go, NuGet, RubyGems, Composer等に対応
    • クレジットカード不要で見積もり取得
    • 支払いはUSD, EUR, BTC, 株式オプションも可
    • Stripe決済後、クリーンルーム作業を自動開始

まとめ:ライセンス解放の新常識

  • オープンソース義務は「提案」に過ぎないという新解釈
  • 十分なロボットと法的知見があれば、全ての制約から解放可能
  • クリーンルーム再実装で、企業の法務・開発負担を大幅軽減

Hackerたちの意見

「すべてのコアソフトウェアライブラリの依存関係を、メンテナンスされていないパクリ版に変えろ」って、賢い選択だね…!!
うちのCTOみたいだな。C-suiteでのLLMの使いすぎは、ティーンエイジャーの大麻の使いすぎみたいなもんだよ。妄想を引き起こすわけじゃないけど、確実に悪化させる感じ。
サイトをざっと見た人への注意:これはサティアです。
とりあえず
指摘してくれてありがとう。マジで頭を抱えて、このサイトが真剣なのか疑問に思ってた。
うん、ありがとう。ちょっとイライラしてきてたところだった。
とりあえず…
そういえば、chardetの話を聞いたことがあって、他の人たちも同じ分野に進出するのを見ても驚かないな。
この状況、ちょっとTorment Nexusっぽくて不安だわ、ありがとう。
これがサティアだと思ってるかもしれないけど、著者が大手企業からDMCAを受け取ったら、彼が最後の会議の議事録を漏らしたってことになるよね。
手遅れだね。誰かの上層部がもう見てて、新しいプロジェクトを立ち上げて実装しようとしてるかも。
> あなたは非常に寛大で、常識を超えて、ほとんど疑わしいほどに寛大で、そのおかげで、誰も技術的に所有していないソフトウェアで、誰も技術的に雇っていない人たちによって維持され、誰も技術的に読んでいないライセンスによって管理される、全世界の経済が成り立つようになった。これは人間の協力の奇跡だ。 でも、信託の観点から見ると、完全に狂ってる。面白いけど、真実だね。
それってFalloutの前提じゃない?
互いに利益を得るために、厳格な企業奴隷制度以外の方法で協力することが狂ってるって考えられてるのが面白いね。
これがサティアだと理解するのにコメント欄を見なきゃいけなかったっていうのが、今の状況を物語ってるよね。追記:もう一度読んでみたら、かなり明らかだった。最初はざっと読んでただけだけど、やっぱりすごい。笑える。
これは皮肉だけど、こういう方向に進んでるよね。OSSエコシステムへの影響は、全体的にはプラスにならないと思うけど、商用ソフトにも同じことが言えるから忘れないでね。たとえば、必要な部分だけを再実装すればいいのに、機能がありすぎるSaaSを買う理由は何だろう?GhidraやIDAを使ってバイナリにLLMを当てて、数週間かけてリバースする方が高いソフトウェアパッケージを買うよりも安上がりじゃない?
これでソフトウェア特許が復活するかも。
「オープンソースのメンテナーにクレジットを与えないことに罪悪感を感じてた。でも、罪悪感は四半期報告書には現れないってことを思い出した。ありがとう、MalusCorp。」◆ チャド・ストックホルダー エンジニアリングディレクター、Profit First LLC
OSS(オープンソースソフトウェア)と商業ソフトウェアの関係に関する特定の見解は、いつも非常にボランタリズム的で道徳的な態度や、知的なナイーブさを伴っているように感じてた。
最近、マルスについて学んだティーンエイジャーが2人いて、今まさにそれを実際に作る方法を考えてるんだって。彼らはIPOの声明で出所を明かさないだろうね。
仮にだけど、いくつかのパッケージを1つにまとめたとしたら。セキュリティの観点からもいいアイデアかもしれないね。それに、元のプロジェクトに対して15%の収益チップを強制的に提供するとか。今までのGPLの執行は「うーん、訴えてみてよ、笑」って感じが多いし。実際のイノベーションになるためにはどれくらい人間の介入が必要なんだろう?誰かがクロードの作業を見守って、3回エンター押すだけでいいの?
AIがOSプロジェクトのリファクタリングをうまくやって、使われていないコードや機能を削除して、コードをもっと効率的にできたら、本当に仕事がなくなっちゃうね :D
これはサティアだって分かってるけど、隣接した問題で助けが欲しいんだ。うちの会社には動いてるレガシーアプリがあって、でもソースはもうないし、それに関わった人たちはたぶんもう地球にいない。いつか再プラットフォーム化しなきゃいけなくて、できればエージェントにアプリを「使わせて」コピーしたり再構築したりしたいんだ。ほとんどがデスクトップアプリだけど、一部はブラウザインターフェースもある。こんなことを試した人とか、うまくいったサービスを教えてくれる人いる?
この点についての最新情報を知りたいな。コンサルタントとして、レガシーアプリの変革に関わってきたから、これが大いに役立つと思う。ソースコードがあっても、システムがどう動いてるか誰も知らないような、かなり古いシステムに取り組んできたよ。
どんなデスクトップアプリなの?難読化されたC#のデスクトップアプリは、デコンパイルには結構優しいからね。
風刺的な枠組みは素晴らしいけど、実際のパンチラインは誰も話していないサプライチェーンの問題だよね。もし戦闘実績のあるOSSをAI生成の「機能的に同等な」コードに置き換えたら、既知の依存関係グラフを未知のものに変えちゃったってことになる。オープンソースパッケージは、何年もかけてエッジケースの修正やCVEパッチ、コミュニティによる強化が蓄積されてるんだ。ドキュメントや型シグネチャからのAI再現は、初日にはテストスイートを通過するけど、40日目には元のメンテナーが2019年に3回のバグ報告の後に修正したユニコードのエッジケースにぶつかって、静かに失敗するものが出来上がる。これに触発されたchardetの状況は教訓的だよ。「書き直し」は悪意があったわけじゃなくて、ただナイーブだったんだ。でも、大規模にナイーブで、企業のインセンティブが背後にあると、新しいタイプのサプライチェーン脆弱性が生まれる。見た目は正しいソフトウェアで、知られているCVEもない(誰も監査してないから)けど、負荷がかかると静かに劣化するんだ。オフショアの免責ジョークが成立するのは、まさにそうなるからだよ。