MALUS - Clean Room as a Service: Befreiung von Open-Source-Urheberrechtsangaben

 (malus.sh)
4 Punkte von GN⁺ 2026-03-13 | 1 Kommentare | Auf WhatsApp teilen
  • Ein KI-Roboter rekonstruiert Open-Source-Projekte unabhängig und liefert rechtlich unterscheidbaren Code mit unternehmensfreundlicher Lizenz
  • Ohne den Originalcode anzusehen, wird ausschließlich anhand von Dokumentation, APIs und Typdefinitionen analysiert und funktional identige Software neu geschrieben
  • Das Ergebnis wird unter der MalusCorp-0-Lizenz veröffentlicht, ohne Pflicht zu Urheberrechtsangaben, Quelloffenlegung oder Weitergabe von Änderungen
  • Nutzer laden Abhängigkeitslisten wie package.json hoch; daraufhin wird automatisch ein Angebot auf Basis von $0.01/KB Paketgröße berechnet
  • Ziel ist es, den Aufwand für Open-Source-Lizenz-Compliance zu beseitigen und das rechtliche Risiko für Unternehmen zu minimieren

Die Probleme von Open Source

  • Die Kennzeichnungspflicht der Apache License wird als unpraktisch beschrieben, weil in Dokumente Formulierungen wie „Teile dieser Software …“ aufgenommen werden müssen
  • Die AGPL-Lizenz birgt das Risiko, dass schon bei teilweiser Nutzung des Codes das gesamte Werk offengelegt werden muss, weshalb sie in Unternehmen oft verboten ist
  • Lizenzverfolgung und Audits für Hunderte von Abhängigkeiten verursachen Zeit- und Kostenaufwand
  • Einige Lizenzen verlangen, Änderungen an die Community zurückzugeben; das stehe laut Darstellung im Widerspruch zu den Interessen der Aktionäre

Die Lösung: Robot-Powered Clean Room Recreation

  • Ein KI-basiertes Clean-Room-Rekonstruktionssystem analysiert ausschließlich Dokumentation und API-Spezifikationen, ohne den Originalcode jemals einzusehen
    • Analyse-Roboter und Implementierungs-Roboter arbeiten als voneinander isolierte Teams, sodass keine Kopie oder abgeleitete Arbeit entsteht
  • Das Ergebnis gilt als rechtlich unabhängiger Code, den der Nutzer vollständig besitzt
  • Wichtige Merkmale
    • 100 % von Robotern geschriebener Code
    • 0 % Einsicht in den Originalcode
    • funktional gleichwertiges Ergebnis
    • Auswahl einer unternehmensfreundlichen Lizenz möglich
    • rechtliche Freistellung garantiert (im Namen einer ausländischen Tochtergesellschaft)

Der Liberation-Prozess

  • Schritt 1: Manifest hochladen
    • Abhängigkeitslisten wie package.json, requirements.txt, Cargo.toml hochladen
  • Schritt 2: Isolierte Analyse
    • Roboter prüfen nur README, API-Dokumentation und Typdefinitionen
  • Schritt 3: Unabhängige Rekonstruktion
    • Ein separates Roboterteam schreibt den Code anhand der Spezifikation neu
  • Schritt 4: Lizenz-Befreiung
    • Das Ergebnis wird unter der MalusCorp-0 License bereitgestellt
      • Bisherige Open-Source-Pflichten (Kennzeichnung, Weitergabe von Änderungen, Quelloffenlegung usw.) entfallen
      • Nutzer können ohne Einschränkungen ändern, verteilen und kommerziell nutzen

Preismodell

  • Nutzungsabhängige Abrechnung nach Größe: entpackte Paketgröße (KB) bei npm × $0.01
    • Mindestbestellwert $0.50
    • Beispiele: lodash (1.3MB) → $13.78, moment (4.1MB) → $42.48
  • Enthaltene Leistungen
    • KI-gestützte Clean-Room-Rekonstruktion und MalusCorp-0-Lizenz
    • 10 CSP-Spezifikationsdokumente
    • Bis zu 10MB pro Paket, Bestellung von bis zu 50 Paketen möglich
    • Kein Abo, bezahlt wird nur, was befreit wird

Garantie und Beispiele

  • MalusCorp Guarantee™: Bei einer Verletzung volle Rückerstattung und Verlagerung des Hauptsitzes (in internationale Gewässer)
  • Erfolgsbeispiele
    • 847 AGPL-Abhängigkeiten in 3 Wochen befreit, im Übernahmeprozess 0 Lizenzprobleme
    • Erwartete Kosten der Rechtsabteilung von 4 Millionen Dollar auf 50.000 Dollar gesenkt
    • 2.341 npm-Pakete rekonstruiert, wodurch sich das Compliance-Dashboard sofort normalisierte

Häufig gestellte Fragen

  • Rechtmäßigkeit: unabhängige Rekonstruktion ohne Einsicht in den Originalcode, gestützt auf rechtliche Präzedenzfälle
  • Vergütung für ursprüngliche Entwickler: Die Veröffentlichung als Open Source sei ihre Entscheidung gewesen; eine separate Vergütungspflicht bestehe nicht
  • Unterschied zur Kopie: Es handelt sich um eine unabhängige Implementierung derselben Funktionalität; Absicht und Prozess seien unterschiedlich
  • Bei Bugs: Nur funktionale Gleichwertigkeit wird garantiert; Bugs liegen in der Verantwortung des Nutzers
  • Offenlegung der Roboter: Standort geheim; Besichtigungen nur für Enterprise-Kunden nach Unterzeichnung einer NDA
  • Unterstützte Lizenzen: Befreiung für alle Lizenzen möglich, darunter MIT, Apache, GPL, AGPL, LGPL, BSD und MPL

Zahlung und Nutzung

  • Sichere Zahlung über Stripe, danach automatische Verarbeitung
  • Angebote sind kostenlos; Zahlung in USD, EUR, BTC und Aktienoptionen möglich
  • Der Service schließt mit dem Satz: „Mit genügend Robotern sind Open-Source-Pflichten nur noch Vorschläge.“

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-03-13
Hacker-News-Kommentare

  • Beim Lesen des Malus.sh-Blogs ist mir ein interessanter Punkt aufgefallen. Das ist ein Problem, das ich seit Jahrzehnten empfinde, das das Rechtssystem aber noch immer nicht richtig erfasst: Die Durchsetzungskosten sind wichtig (costs matter)
    Zum Beispiel reicht es nicht, einfach ein Schild mit Tempolimit 55 mph aufzustellen. Menschen einzusetzen, die nur gelegentlich kontrollieren, und mit Robotern perfekt zu überwachen, sind völlig unterschiedliche Politiken. Der Gesetzestext ist derselbe, aber die tatsächliche Politik ist vollkommen anders
    Früher unterschieden sich Gesetze de jure und de facto, doch durch Technologie könnten beide nun zusammenfallen. Aber kaum jemand erkennt, wie groß diese Veränderung ist. Je einfacher die Durchsetzung wird, desto stärker verändert sich die Bedeutung des Gesetzes. Über Jahrhunderte wurden Gesetze unter der Annahme geschaffen, dass ihre Durchsetzung schwierig ist; das blind zu automatisieren, ist für alle eine schlechte Idee
    Vielleicht kommt irgendwann ein Präzedenzfall, in dem „Durchsetzungskosten“ als Teil der Beurteilung von Rechtmäßigkeit berücksichtigt werden

    • Ich finde, wir sollten präzisere Rechtsdurchsetzung begrüßen. Unvollständige Durchsetzung führt zu selektiver Ahndung, und dadurch erhalten Vollstrecker die Macht, Gesetze faktisch willkürlich zu verändern. Aber je perfekter die Durchsetzung wird, desto mehr müssen Regeln und Strafen mit angepasst werden. Sonst entsteht gesellschaftliches Chaos. Gesetze sind eigentlich darauf ausgelegt, sich langsam zu verändern, aber vielleicht kommen sie jetzt nicht mehr hinterher
    • Dean Ball hat dasselbe Thema in der Ezra-Klein-Show angesprochen. Man dachte, perfekte Durchsetzung würde Gerechtigkeit bringen, aber ohne einen Migrationsplan bedeutet das nichts. KI verspricht eine großartige Zukunft, aber der Übergangsprozess dorthin ist der schwierigste Teil
    • Das Problem wirkt in beide Richtungen. Viele Behörden sind gesetzlich verpflichtet, auf schriftliche Anfragen von Bürgern zu antworten, aber früher schrieb kaum jemand Briefe. Dank LLMs kann jetzt jeder problemlos formelle Schreiben verfassen. Wenn nun KI auftaucht, die automatisch „Beschwerdebriefe“ schreibt, dürfte das Verwaltungssystem schnell überfordert sein
    • Laut einem Aufsatz von Pamela Samuelson und Suzanne Scotchmer (Yale Law Journal PDF) betrachtete auch das Urheberrecht „Umgehungen mit vorhandenen Kosten“ positiv. Vollständig kostenlose oder automatische Umgehungen galten also nicht als wünschenswert. Interessant ist, dass das Rechtssystem die Bedeutung von Kosten implizit bereits anerkannt hatte
    • Ich mag diese Sichtweise, dass „Durchsetzungskosten wichtig sind“, wirklich sehr. Gesetze des 18. und 19. Jahrhunderts wurden unter der Annahme begrenzter Polizeikapazitäten geschaffen, aber heute verändert Überwachungstechnologie alles. Perfekte Durchsetzung verursacht Privatsphäre-Kosten. Andererseits bleibt als Gegenargument, dass automatisierte Durchsetzung die Ungerechtigkeit selektiver Ahndung verringern könnte

  • Anfangs dachte ich, das sei Satire. Wenn man aber länger darüber nachdenkt, könnte daraus ein Modell entstehen, das OSS-Entwicklern Einnahmen zurückgibt. Man könnte etwa ein „clean room as a service“ bauen, bei dem die Erlöse nicht an Malus.sh, sondern an die ursprünglichen Autoren gehen. Alle OSS-Projekte würden auf Lizenzen wie AGPL umstellen, und Unternehmen würden für maßgeschneiderte Implementierungen bezahlen. Mich würde das MVP eines solchen Systems interessieren

    • Die Site ist tatsächlich keine Satire. Stripe-Zahlungen sind möglich, und sie erzeugt wirklich Code. Es ist nur in satirische Sprache verpackt
    • Falls das ernst gemeint war: Das ließe sich auch mit bereits existierenden Dual-Licensing-Modellen umsetzen. Als Witz ist es lustig, aber ernst genommen vielleicht ein Missverständnis
    • Der ursprüngliche Zweck von Copyleft war es, die Freiheit (freedom) von Software zu schützen. Der Vorschlag, Teile des Codes abzuschotten, widerspricht diesem Prinzip frontal
    • Ich dachte anfangs auch, es sei Satire, habe es aber unten auf der Seite wegen der gefälschten Testimonials sofort erkannt. Formulierungen wie „847 AGPL-Abhängigkeiten in 3 Wochen befreit“ waren wirklich zum Lachen
    • So ein Modell könnte tatsächlich gut funktionieren. OSS-Entwickler könnten sich ganz auf die Entwicklung konzentrieren, ohne sich um Vertrieb oder Consulting kümmern zu müssen. Unternehmenssponsoring wäre dann auch nicht nötig

  • Die Formulierung „Ich fühlte mich den Open-Source-Maintainern gegenüber schuldig, aber Schuldgefühle tauchen in den Quartalszahlen nicht auf“ ist erschreckend realistisch.
    ◆ Chad Stockholder, Director of Engineering bei Profit First LLC

    • Die Beziehung zwischen OSS und kommerzieller Software war schon immer eine Mischung aus moralischer Spannung und naivem Idealismus

  • Das löst so starke Ablehnung aus, dass man Reaktionen liest wie: „Ich glaube nicht an die Hölle, aber falls es sie gibt, hoffe ich, dass dort ein Platz für solche Leute ist.“ Schon die Formulierung „Wir befreien euch von Open-Source-Lizenzpflichten“ ist unangenehm. Dazu kommt die Behauptung „Unsere KI hat den Originalcode nie gesehen“ — aber wie sollte man das durch ein unabhängiges Audit beweisen? Es ist Satire, aber der Blutdruck steigt trotzdem

    • Es ist zwar Satire, aber FLOSS-Lizenzen verlangen bei interner Nutzung tatsächlich keine Offenlegung. Selbst wenn eine KI eine völlig neue Implementierung erzeugt, bleibt der urheberrechtliche Schutz unvollständig
    • Dieses Projekt wurde tatsächlich als Satire auf der FOSDEM vorgestellt. Die Autoren kommen selbst aus der Open-Source-Community

  • Ich dachte zuerst, das sei Satire, aber genau das zeigt vielleicht die aktuelle Realität. Die Welt verändert sich zu schnell

    • Auf der Site sind tatsächlich Stripe-Zahlungen möglich. Es wirkt wie Satire, ist aber ein echter Service
    • Ich dachte auch zuerst, es sei Satire, war dann aber wegen der gefälschten Testimonials beruhigt. Zum Glück ist es noch nicht Realität
    • Beim Namen „Malus“ merkt man dann irgendwann doch, dass es Satire ist
    • Wie auch immer der Name lautet: So etwas wird am Ende wohl Realität werden

  • Die traditionelle Clean-Room-Implementierung funktionierte so, dass Teams getrennt wurden: Eine Seite schrieb die Spezifikation, die andere setzte sie um. Ein LLM könnte den Originalcode jedoch bereits im Training gesehen haben. Dann lautet die eigentliche Rechtsfrage vielleicht: Ist das Modell selbst schon der kontaminierte Raum?

  • In der Praxis zeigen chardet Issue #327 und #331, dass jemand so einen Ansatz bereits versucht

    • Es gibt ein Beispiel, in dem das Modell Opus 4.6 den vollständigen Source Code von chardet ohne Webzugriff aus dem Gedächtnis reproduziert hat (Gist-Link)
    • Ein Entwickler, der das Projekt über mehr als 10 Jahre gepflegt hat, hat sich um eine MIT-lizenzierte Reimplementierung bemüht — und stattdessen wurde er aus der Community heraus kritisiert. Das ist wirklich bedauerlich
    • Das ist ein wichtiger Fall, der eigentlich eine eigene Diskussion verdient

  • Die Formulierung „Falls sich herausstellt, dass unser Code Rechtsverletzungen enthält, erstatten wir den vollen Betrag und verlegen unseren Hauptsitz in internationale Gewässer“ ist wirklich geniale Satire. Es wirkt fast wie eine Vorhersage der Zukunft

    • Die satirische Ausführung ist äußerst gelungen. Anfangs wirkt alles echt, aber beim Lesen sind überall absichtliche Hinweise versteckt. Gerade dass es real werden könnte, macht es umso beunruhigender

  • Mit dem Konzept des „Clean Room“ bin ich zum ersten Mal in einer Baseball-Statistikdatenbank in Berührung gekommen. Die offiziellen Daten waren zwar kostenlos, aber ihr Format und ihre Struktur konnten urheberrechtlich geschützt sein, weshalb Fans die Daten unabhängig rekonstruierten. Spiele wie Baseball Mogul nutzten das ebenfalls. Solche Formen unabhängiger Reimplementierung dürfte es künftig häufiger geben

  • Wirklich großartige Satire. Aber warum hat noch niemand so einen Dienst tatsächlich gebaut? Es gibt doch genügend Leute, die durch die Nutzung von Open Source Profit machen wollen. Ist das Prozessrisiko vielleicht einfach zu hoch, oder versucht es bereits jemand?

    • Eigentlich kann heute jeder ein aktuelles LLM verwenden, daher gibt es wenig Grund, einen Dritten für eine „Clean-Room-Implementierung“ zu bezahlen. Der eigentliche Wert läge wohl in einem Wrapper, der das rechtliche Risiko übernimmt
    • Es gibt viele Gelegenheiten, sich böswillig zu verhalten, aber die meisten Menschen haben moralische Hemmungen. Wenn solche Ideen jedoch öffentlich werden, könnten wie bei copycat crime reale Nachahmungsversuche zunehmen
    • Tatsächlich passiert so etwas schon. Wenn ein Entwickler einer KI sagt: „Implementiere diese Funktion, und orientiere dich dabei an diesem GitHub-Repo“, kommt es unbeabsichtigt zu einer Reimplementierung
    • Das Problem ist Vertrauen und Sicherheit. Statt Geschäftsgeheimnisse einem SaaS anzuvertrauen, wäre eine lokale KI sinnvoller. Solche Systeme existieren bereits und werden aktiv genutzt
    • Und realistisch gesehen sind LLMs noch nicht auf dem Stand, komplexen Code perfekt zu schreiben. Deshalb wäre es schwer, einen solchen Dienst in der Praxis zuverlässig zum Laufen zu bringen