3个月前那个"邪恶"玩笑，正在拆掉SaaS的护城河

2023年有人预言AI会让SaaS变成白菜价，当时没人信。现在一家叫Malus.sh的网站，把"白菜价"三个字做成了自动化流水线——上传你的依赖清单，它用AI把GPL代码洗成MIT，LGPL洗成私有。名字里的Malus是拉丁语"邪恶"，开发者说这是讽刺，但讽刺的是它真能跑通。

这件事的可怕之处不在于技术，而在于法律 precedent（先例）早在1982年就写好了。

1982年的"干净房间"，成了2025年的武器

Phoenix Technologies当年想兼容IBM PC，但IBM的BIOS有版权。他们的解法堪称精密：A组工程师把BIOS拆解成功能说明书，B组工程师——完全没见过原代码——照着说明书重写。法院判了合法，因为B组是独立创作。

这个判例活了43年，现在被AI复刻了。Malus.sh的演示很简单：你扔进去一个Python库的依赖文件，它的"AI A组"分析功能，"AI B组"从零实现。两个模型不共享权重，不交换上下文，技术上满足"干净房间"的所有要件。

FOSDEM（欧洲开源开发者大会）的现场，演讲者把这事当警告讲，台下听出了别的意思。Hacker News的1400多条评论里，最扎眼的一条是：「这到底是copyleft的末日，还是我们终于可以不用管开源合规了？」

几乎同时，有人用Claude实操了chardet库——一个LGPL协议的字符编码检测工具。输出结果：MIT协议的新版本，功能一致，代码不同。开源社区炸了，但炸完发现拦不住。

SaaS的护城河，从来不在代码里

Malus.sh针对的是开源库，但真正的杀招在另一块战场。

SaaS公司从不公开源代码，但它们公开一切行为。每个按钮的响应、每个API的返回、每个错误提示的文案，都是可观测的。把这些喂给LLM，生成规格文档，再让另一个LLM实现——源代码？从来没被"看见"过。

对SaaS来说，"干净房间"的防御反而更强。因为没有原代码，就不存在"复制"的指控。你能证明Claude看过Salesforce的代码吗？不能。你能证明它看过Salesforce的界面行为吗？人人都可以。

有人反驳：LLM的训练数据里明明有开源代码，Claude能一字不差背出chardet的源码，包括许可证头。这算"见过"吗？

算。但架构可以改。

双模型系统：模型A读行为，写规格；模型B读规格，写代码。两者权重隔离，上下文隔离。三模型、四模型，每多一跳，溯源难度指数级上升。不同基座模型、不同云厂商、不同司法管辖区——你想起诉？先证明链条上哪个环节"污染"了最终输出。

2023年预言的"SaaS泡沫破裂"，迟到两年，但路线更野。

两种剧本同时上演

第一种剧本企业最爱：终于不用怕GPL的"传染性"了。改过的代码不必开源，合规部门可以裁员。MongoDB当年改SSPL协议防云厂商，现在云厂商可以反问：我为什么要用你？我自己洗一个。

第二种剧本更安静，也更致命。SaaS的定价建立在"我们做了你做不到的事"上，但当"做到"的成本降到API调用费，毛利率怎么守？不是每个SaaS都有网络效应，不是每个都有数据飞轮。那些靠功能复杂度堆起来的护城河，正在变成负资产——越复杂，行为观测越丰富，AI复刻越完整。

Notion的块编辑器、Figma的协作逻辑、Zapier的集成图谱，这些曾经需要百人团队磨两年的东西，现在可以被拆解成"行为-规格-实现"的流水线。不是明天，是现在。有人已经在用Claude复刻内部工具，两周替代了原来$15万/年的订阅。

开源社区的反应很分裂。一部分人喊"这是盗窃"，另一部分人默默fork了Malus.sh的思路——不是洗别人的代码，是洗自己的技术债。那些早年选了GPL、现在想转MIT的老项目，发现了一条灰色捷径。

法律还在1982年，技术已经到2025年

Phoenix Technologies案确立的规则是：独立创作，不碰原代码，就不侵权。AI满足这个条件吗？技术上可以设计为满足。法律上？还没有判例。

但诉讼成本摆在那里。你要告一家用了"干净房间AI"的公司，得先穿透三层模型架构、两个云厂商、一个离岸实体，证明"污染"存在。而被告只需要展示：看，我的模型B训练数据里绝对没有你的代码。

copyleft运动的核心假设是：代码一旦开源，许可证就像病毒一样附着。但如果代码可以被"功能等价但表达不同"地无限再生，病毒就失去了宿主。AGPL（ Affero GPL）要求网络服务也必须开源，现在你可以用AI洗一个"行为等价但代码全新"的版本，AGPL的触发条件——"基于该程序修改"——还成立吗？

开源律师圈在讨论一个新概念："合成干净性"（synthetic cleanliness）。意思是AI生成的代码，即使训练数据包含原代码，只要生成过程满足一定隔离条件，就可以视为独立作品。这要是写进判例，开源许可证的 enforcement（执行）机制就塌了一半。

SaaS行业的估值模型里，"技术壁垒"这个乘数正在失效。

VC们开始问新问题：你的护城河是数据吗？是网络效应吗？是品牌吗？如果答案只是"我们功能多、代码好"，下一轮估值要打对折。2024年SaaS估值已经杀过一轮，当时归因于利率和增长放缓。现在看，可能杀早了。

Malus.sh的创始人在FOSDEM后发了条推文：「我们是讽刺作品，但讽刺的是你们拦不住。」网站本身几天后下线，但GitHub上出现了十几个开源实现，文档比原版还全。有人加了"三模型"模式，有人接了本地LLM绕过API审查，有人专门洗Rust库——那帮最看重内存安全的开发者，现在最积极。

企业采购部门的态度更微妙。理论上他们应该抵制"洗代码"的供应商，但预算压力是真实的。当一个$50万/年的企业协议可以被$5万的AI复刻替代，CFO的邮件比法务的警告先到。

开源基金会也在动。OSI（开源倡议组织）在起草"AI生成代码的许可证兼容性指南"，但进度赶不上技术扩散。Linux基金会悄悄资助了几个"溯源技术"项目，想从技术上证明某段代码是否"AI污染"，但对抗的是整个生成式AI行业的商业逻辑。

最尴尬的可能是那些"开源核心+商业插件"的混合模式公司。他们的商业版本本来靠功能差异收费，现在客户可以用AI把开源核心扩展到90%的功能，剩下10%自己写。红帽的订阅模式、Elastic的授权分层，这些被验证过的 playbook（打法），突然需要重写。

有个细节很少被讨论：Malus.sh的"干净房间"流程，对小型开源库最致命。一个维护者业余时间写的实用工具，没有精力打官司，没有资源做技术溯源。AI洗一遍，大公司用上，原作者连署名都拿不到。这不是理论，chardet事件后，几个Python工具库的维护者已经暂停更新，说"等法律明朗"。

但法律不会明朗。1982年的判例保护的是"独立创作"，2025年的技术让"独立"变得可以工程化。当两个AI模型之间的隔离，比两个真人团队更彻底，法院怎么判？没人知道。而"没人知道"本身，就是对 copyleft 的削弱。

SaaS的死亡预言可能夸张了，但"SaaS as we know it"确实在变形。那些靠功能复杂度建立的优势，正在变成行为观测的素材库。那些靠许可证建立的保护，正在变成可以绕过的路障。不是每个公司都会用Malus.sh，但只要有一个竞争对手用了，定价权就开始流失。