一
从开始到这一章,我们走了一段长路。1985 年 Richard Stallman 写《GNU 宣言》,41 年后 Greg Kroah-Hartman 用两句话删除 11 名俄籍 maintainer。1991 年 Phil Zimmermann 通过印一本书规避 ITAR,34 年后 DeepSeek 用 MIT License 发布前沿 AI 模型。1997 年 Eric Raymond 写“Given enough eyeballs, all bugs are shallow”,27 年后 xz 后门用三年时间证明国家级 social engineering 让眼睛不够用。
读到这里如果你感到沮丧,那不奇怪。这本书的几乎每一章都讲了一种“开源被穿透”的形式——制裁穿透 maintainer 名单,国家穿透基金会治理,合规穿透协作流程,AI 模型权重穿透传统的代码即言论原则。每一种穿透都是真实的,每一种都没有简单的回应。
如果你觉得整本书是关于“开源运动的失败”,那是误读。这本书想说的不是失败——是转变。
开源没有失败。在你读这一行字时,全球几百万个开源 maintainer 正在维护几亿个项目。Linux 仍然在运行;Apache 仍然在 host 网站;PostgreSQL 仍然在存数据;PyTorch 仍然在训练模型;curl 仍然在做 HTTP 请求。开源是地球上仍在运行的最大规模、最持续的志愿合作产物之一。
但它已经不是 1985 年的开源,不是 2001 年的开源,不是 2014 年的开源。它的形态变了——它从“全球公地”变成“被多个主权切割但仍然运转的多边生态”。理解这种变化,是理解 21 世纪 20 年代技术世界的一个关键。
二
回看四十年的轨迹,能识别出三个阶段:
自由阶段(1985-2000):
- 由 Stallman / FSF 主导
- 道德立场为先——“四项自由”是用户权利
- 对抗专有软件
- 边缘运动,被主流商业 IT 视为乌托邦
- 法律基础:GPL 与 copyleft
企业阶段(2001-2014):
- 由 OSI / Apache / Linux Foundation 主导
- 商业可接受为先——“开源是更好的开发模式”
- 与企业合作(IBM 投资 Linux、Microsoft 2014 后转向)
- 主流,但仍然假装是“中性技术”
- 法律基础:Apache 2.0 license + 各种基金会的版权聚合
主权阶段(2014-?):
- 由各国 + 大型基金会 + 大公司 + 维护者共同应对
- 国家利益穿透——“开源不是政治中性”
- 同时受美国 OFAC、欧盟 CRA、中国《网络安全法》等多方监管
- 完全主流,已经是关键基础设施
- 法律基础:合规、出口管制、SBOM、Reproducible Builds、SLSA、Sigstore——一套不断扩张的工具1
每个阶段没有终结上一个阶段。Stallman 的道德立场仍然在 FSF 工作;Apache 基金会的“企业可用”模式仍然有效;2014 年之后的“主权穿透”也没有替代之前的两层——它叠加在上面,让事情更复杂。
到 2026 年,一个开源项目同时面对:
- 自由立场的期望(许多用户和贡献者仍然相信代码自由)
- 企业生态的依赖(商业生态仍然主要建在开源上)
- 国家合规的压力(出口管制、SBOM、CRA 等)
这三层经常冲突。一个 maintainer 可能信仰“代码无国界”(自由立场),但他在为一家美国公司工作(企业立场),他的项目必须遵守 OFAC(主权立场)。这三层让简单的“开源运动应该怎么做”问题变得几乎不可回答。
三
但读到这里需要停下来纠正一个可能的误读:主权阶段不是开源的衰落。
这是一个常见的悲观叙事——“开源被国家捕获,理想已死”。这个叙事错在两个地方。
第一,它把“理想”当作“事实”。开源运动的“全球公地”姿态从来不是事实——它是 1985 年以来的 aspiration。即使在 1990 年代,开源软件的实际使用就充满了不平等——美国与欧洲开发者占绝对多数,非英语母语开发者贡献门槛更高,南半球国家几乎不参与核心治理。“全球公地”是个有效的 framing 来推动开放——但它从未是一个准确描述。
第二,它低估了开源的根本属性。开源的核心不是“全球协作”——是“代码可读、可分叉、可镜像”。前者是文化层面的实践,可以被国家穿透。后者是技术层面的属性,国家无法改变。
让我们具体看后者。如果 Linux Foundation 删除 11 名俄籍 maintainer,俄籍开发者仍然可以:
- 读 Linux 内核源代码(公开)
- Fork 一个 Linux 内核衍生版(GPL 允许)
- 在自己的服务器上 build 这个 fork(无人能阻止)
- 与其他人分享这个 fork(GPL 要求)
他们失去的是“参与 Linus 主仓的 maintainer 角色”——这是协作机制,不是技术属性。他们的代码工作并没有被切断;他们的能力没有被消除。他们只是失去了与 Linux 上游协作的官方渠道。
这是 Iran、Cuba、Crimea 程序员现在的真实处境。他们被 GitHub 制裁——失去 GitHub 协作渠道。但他们能继续工作——读源代码、自己 build、分享自己的版本。他们的开发能力没有消失——只是变得更孤立2。
这就是 Stallman 1985 年争取的根本权利——“四项自由”。这个权利不是国家给的,是 GPL 等开源 license 通过版权法的反向使用建立的。国家可以制裁主体(公司、个人、网站),但不能制裁抽象的代码可读性。
四
让我们具体看几个例子。
Iran:美国对伊朗实施严格制裁 40+ 年。但伊朗 IT 行业仍然在运转。伊朗有大量优秀开发者——很多在国际开源项目做出贡献。他们用 VPN 绕开 GitHub 限制(违反 GitHub TOS 但实际是常态),他们用自托管 GitLab,他们用 USTC 等中国镜像下载开源软件3。
伊朗政府推 “National Information Network” 项目——某种程度上类似中国的国家信息基础设施。但这个项目规模有限,主要目的是国内审查而不是建立完整生态。伊朗 IT 行业的实际状态是“非常困难,但没崩溃”。
Cuba:古巴 IT 行业规模很小,但仍存在。古巴开发者多数通过 VPN 用 GitHub。古巴政府支持本土软件(Cubadebate 等),但生态有限。多数古巴开发者通过移民工作——很多在西班牙、加拿大、墨西哥的开源项目中贡献。
Crimea:克里米亚被并入俄罗斯后,克里米亚的开发者技术上“自动变成”俄罗斯地区——同时被乌克兰和美国制裁。具体地说,2014 年克里米亚 GameHub 维护者(我们在第 6 章提过)失去 GitHub 私有 repo 访问,但仍然能继续在本地写代码4。
朝鲜:这是最极端的例子。朝鲜国家级与外网隔离的 intranet(Kwangmyong)让多数公民完全没有外网访问。少数特许 IT 工作者能访问 GitHub 等平台(被严格监控)。朝鲜本土有 Red Star OS——基于开源 Linux 的本土发行版。朝鲜的“开源使用”几乎完全是“下载已有版本”,几乎不向上游贡献5。
把这四个国家放在一起,是个递减的频谱:从“困难但有生态”(伊朗)到“几乎没有生态”(朝鲜)。但即使在朝鲜,开源代码仍然能存在和运行。Red Star OS 仍然是基于 Linux 的——朝鲜不需要美国 / 欧盟 / 中国的批准就能用 Linux 内核。这是 GPL 等 license 的根本保护——任何人都能用、研究、修改、分发6。
五
这是这本书想强调的最重要的结论:开源运动取得的不是“全球协作的成功”——那是文化层面的,可以被国家穿透。开源运动取得的是“代码作为公共财产”的法律和技术基础——这个基础不能被国家剥夺,因为它的存在不依赖任何国家的承认。
具体来说,开源给世界留下了这些不可逆的属性:
法律层面:
- GPL 等 copyleft license 的版权运作机制
- Apache 2.0 等“商业友好”license 的法律框架
- MIT 等极宽松 license 的“几乎不受限”性
- 这些 license 都是私法工具——不依赖国家批准
技术层面:
- 几乎所有现代软件 stack 都建在开源上
- Linux 内核被部署到几十亿台设备
- 开源 web 服务器(NGINX、Apache)host 全球大部分网站
- 开源数据库(PostgreSQL、MySQL)存全球大部分数据
- 开源 ML 框架(PyTorch、TensorFlow)训练全球大部分 AI 模型
社会层面:
- 全球几百万个 maintainer 持续工作
- 关键基础设施有多元化的贡献来源
- 即使某个国家被制裁,其他国家的贡献仍然在7
这些属性放在一起,意味着即使在最糟糕的地缘冲突场景下——比如美国和中国全面“科技脱钩”——开源仍然能继续存在。Linux 不会消失,PostgreSQL 不会消失,PyTorch 不会消失。它们的法律基础(开源 license)不被国家管辖;它们的技术属性(可读、可分叉、可镜像)不依赖任何中心化机构;它们的社会基础(全球 maintainer 网络)有多元化抗冲击。
六
但这种“不可被消灭”不等于“不会被改变”。
开源在 2014 年之后的变化是深刻的。变化不是表面的——不是 logo 改了、不是发行版增加了。变化是结构性的:
- 治理领土化(基金会注册地决定了它服从哪些国家的法律)
- 托管合规化(GitHub、Hugging Face 等平台必须执行 OFAC)
- 维护者夹缝化(一个 maintainer 可能因雇主关联被从项目移除)
- 协作分段化(区域 forge 让协作有了多个层级)
- 标准分裂化(SBOM、CRA、安全可控等多种监管框架)
- AI 政治化(开权重模型成为国家间博弈工具)8
每一种变化都是不可逆的。Linux Foundation 不会“撤销”OFAC 合规决定。GitHub 不会回到 2014 年的“假装看不见制裁”状态。CRA 不会被废除(即使 EO 14028 被部分撤回,欧盟规则会保持)。AI 模型权重的国家化已经开始,不会停止。
所以开源进入的是一个新常态。它仍然是开源——但它运行在分裂的主权地图上。Linux 上游仍然 accept 全球贡献——但 maintainer 角色受 OFAC 约束。PyTorch 仍然全球可用——但联邦合同不能用中国 AI 模型。GitHub 仍然 host 几乎所有项目——但部分国家的开发者被制裁。
这种新常态有时让人不舒服。它不像 1990 年代的“代码无国界”姿态那样有道德 clarity。但它也比“开源已死”更准确——因为开源仍然在运行,仍然在创造价值,仍然让 Iran、Cuba、Crimea 的开发者能继续工作。
七
读到这里,一个自然的问题是:那么开源运动应该怎么自处?
事实是:没有统一答案。不同的项目、不同的 maintainer、不同的国家会做不同的选择。但有几种 emerging 的应对策略值得记录。
1. 接受新常态,在其中找到位置
这是大多数主流项目的实际策略。Linux Foundation 接受 OFAC 约束(删除 11 人)。Apache Software Foundation 等待自己的 trigger。CNCF 多元化 contributor 池。PyTorch Foundation 通过基金会治理获得多边缓冲。
这种策略不是投降——是务实。它承认开源不能在“全球公地”姿态下持续,所以它选择在“分裂主权”现实中找到可持续位置。每个项目根据自己的具体情况决定该执行什么样的合规、避免什么样的政治站队、维持哪些跨国协作渠道9。
2. 主权迁移
小数项目选择主动迁移到中立或更友好的法域。RISC-V International 2019 年从 Delaware 迁瑞士是最清晰的范例。ClickHouse 2021 年从 Yandex 剥离到 Delaware 是另一种类型的“主权重组”。
这种策略有显著代价——昂贵、需要资本和人脉、可能损失部分用户。但对于面对极端主权风险的项目,它是合理选择10。
3. 平行生态备援
中国 OpenAtom、俄罗斯 GitFlic、欧洲 Codeberg——这些是“如果主流被穿透时的备援”。每个区域有自己的本土备援,确保该区域的开源工作不会因某个国际事件突然停止。
这种策略对国家级行为者最合理。它不是“反 GitHub”——是确保即使 GitHub 不可用,该国生态仍然能运转11。
4. 商业模式创新
D. Richard Hipp 用 Hwaci 模式维护 SQLite——自己开公司,提供商业支持,避开开源基金会政治。这种模式不可 scale,但它对特定项目有效。
类似的模式:wolfSSL 雇佣 Daniel Stenberg 维护 curl;Tidelift 为多个 maintainer 提供商业 sponsorship 中介;GitHub Sponsors 让用户直接资助 maintainer12。
5. 政府资助
德国 Sovereign Tech Fund / Agency 是这个方向的最明确范例。政府直接资助关键开源项目——不要求项目“国产化”或“领土化”,只要求项目能持续维护。这种模式 2022-2024 年在欧洲扩散。
这种模式跟 1985 年 Stallman 想象的“反企业的自由软件”完全不同——它是政府支持的开源。但效果是让维护者能持续工作13。
6. 完全去中心化
Radicle 等 P2P 工具尝试让开源完全脱离任何中心。这是最理想主义但最不实用的策略。绝大多数项目不会选择它,因为它的协作效率远低于 GitHub。
但它的存在本身有价值——它证明“如果一切糟糕,仍然有去中心化选项”14。
每一种策略都有代价。没有一个策略能让开源回到 2014 年之前的“全球公地”姿态——那个姿态在地缘政治升级后不可恢复。但每一种策略都让开源在新常态下持续运转。
八
如果要预测未来 5-10 年的开源世界,我会给出以下指标作为关键观察点:
短期(1-2 年):
- 是否会有第二次类似 xz 的国家级 social engineering 后门被发现?至 2026 年 5 月没有,但安全研究者普遍预期会有
- EU CRA 2026 年 9 月部分生效后,是否会有更多小项目放弃欧盟市场?
- 中国 RISC-V 玄铁 C930 等服务器级芯片能否进入主流商用市场?
中期(3-5 年):
- OpenAtom Foundation 能否吸引非中国贡献者并被国际认可为“中立”基金会?
- Hugging Face 是否会被合规压力迫使拆分为多个区域实体?
- 是否会出现第二个 GitHub——一个真正的非美国全球 forge?
长期(5-10 年):
- 大型基金会(Linux Foundation、Apache、CNCF)是否会面临实质性主权审查?
- 是否会出现 license 层面的“主权 license”——为特定国家用户设计的开源 license?
- AI 模型权重的法律性质是否被某个法院明确判决?
- Bernstein 案“代码是言论”原则是否被扩展到模型权重?15
这些是真问题。它们的答案会决定开源运动接下来十年的形态。
九
最后回到一个具体的人——一个我们在第 1 章提到过的人。
Richard Stallman 现在 73 岁(截至 2026 年 5 月)。他仍然写关于自由软件的文章。他仍然在 FSF 的 board 上。他仍然反对几乎所有专有软件。他的立场没有改变。
但他周围的世界完全改变了。1985 年他创立 FSF 时,自由软件是边缘运动,对抗主流商业软件。2026 年,他创立的运动(以及它的衍生品)已经是世界上最大的代码协作模式。Linux 内核运行全球大部分服务器。Apache 项目支撑全球大部分大数据基础设施。开源 AI 模型——包括 DeepSeek 这种用 MIT License 发布的中国模型——正在挑战 OpenAI 的闭权重主导。
但这种胜利不是 Stallman 想要的那种胜利。他想要的是“四项自由”——用户自由的胜利。他得到的是“开源作为基础设施”的胜利。这两种胜利重叠但不完全相同。
Stallman 在多个场合表达过对这种状态的不满。他批评 OSI 把开源运动“道德上抽空”。他批评 Linux Foundation 太接近企业。他批评 Microsoft 对 GitHub 的收购。他批评 AI 时代对模型权重的特殊对待16。
但他的批评——不论对错——已经是少数声音。主流开源运动不再听他的指导。多数维护者甚至不知道 Stallman 是谁。他从开源运动的中心,变成了某种“良心代表”——重要但越来越边缘。
这是开源运动 40 年的诚实总结。它的创始者仍然活着,仍然坚持原则,但运动已经远超他的预期、超出他的控制、走向他不完全赞成的方向。这是任何成功运动的常见结局——创始者的视野被现实的复杂性超越。
十
但这种“超越”不是失败。如果 Stallman 1985 年的“四项自由”被 100% 实现,开源就不会成为今天的关键基础设施。它仍然是 1990 年代那种边缘乌托邦。
实际发生的是:Stallman 的“四项自由”作为根本属性被保留——任何开源代码仍然受这些自由保护。但围绕这些自由的实际治理被现实重塑。Apache 2.0 license 接受商业衍生作品;Linux Foundation 接受企业资助;MIT License 几乎无限制;OpenAtom Foundation 在中国注册;CRA 给开源 steward 一些责任。每一种都背离 Stallman 的纯粹道德立场——但每一种也让开源在更广的世界中扎根。
这个过程是不可逆的,也不应该可逆。1985 年的“四项自由”在 2026 年仍然有效——它们是法律工具,不会失效。但围绕它们的实际世界已经被多种力量重塑——企业、政府、维护者、用户。
理解这种“不可逆 + 必然变化”的双重性,是理解开源现状的核心。不是“理想已死”——理想仍然在工具中固化。不是“完美胜利”——胜利伴随复杂的妥协。是“在妥协中持续工作”——这是开源运动 40 年的实际形态17。
十一
我们一起读了 12 章。我们看了一些具体的事件、人物、项目。但有一件事这本书一直避免直接说——我现在想说一下。
这本书是关于一个奇迹的。
奇迹是这样的:在 1985 年,一个 32 岁的程序员决定写一个完全自由的操作系统。他没有公司支持,没有政府资助,没有主流学术圈认可。他被广泛视为乌托邦主义者。
41 年后,这个完全自由的操作系统的核心组件运行全球绝大部分服务器。它衍生出了世界上最大规模的志愿合作。它的法律工具——GPL、Apache、MIT 等 license——被全球几十万项目使用。它让 Iran 的开发者能继续工作,让 DeepSeek 能挑战 OpenAI,让一个非营利项目能维护被几十亿设备依赖的代码。
这件事在 1985 年是不可想象的。Stallman 当时不能预测它的具体形态。1995 年的 Linus Torvalds 不能预测。2001 年的 Apache 维护者不能预测。2010 年的 Linux Foundation 不能预测。每一代人都在做自己当时认为正确的事,加起来就是今天的开源生态。
这个奇迹的代价是它的复杂性。它不再是简单的“自由 vs 不自由”。它充满了张力——商业 vs 道德,主权 vs 全球性,安全 vs 开放,资助 vs 独立。每个 maintainer、每个项目、每个基金会、每个国家都在自己位置上处理这些张力。没有统一答案。
这本书想做的不是给出统一答案。它想做的是让一个读者——可能是一个开源 maintainer,可能是一个政策制定者,可能是一个普通好奇者——能看清这些张力的具体形态。看清它们是怎么来的,它们现在如何,它们可能走向哪里。
十二
读完这本书,如果有一件事我希望你记得,那就是这个:
开源没有死。它没有被国家完全捕获。它没有变成主权工具。它仍然是开源——可读、可分叉、可镜像。它仍然让 Lasse Collin 那样的芬兰单人维护者影响全球。它仍然让 Iran 的开发者能写代码。它仍然让 DeepSeek 能挑战 OpenAI。
但它也变了。它不再是 1985 年想象的“全球公地”。它运行在分裂的主权地图上。它的每一个治理实体受某个国家法律管辖。它的每一个 maintainer 处在多重压力下。它的每一个 release 都可能被各种合规要求审查。
这不是失败——是进入了一个更复杂的世界。开源运动的最大成就不是任何一个具体的胜利——是它仍然在运转。它穿过了 1985 年没人能预料的所有挑战——商业捕获、国家穿透、关键基础设施的责任、AI 时代的不确定性——仍然在工作。
未来 10 年它还会面对新的挑战——我们在前几章预测了一些(CRA 生效、Hugging Face 拆分、中国 AI 主导等)。它会做出新的妥协,发明新的工具,创造新的形态。每一代开源运动者都在自己的位置上做选择——这些选择加起来,决定下一个十年开源是什么。
这是一本“被捕获之后仍未死亡的解剖报告”。不是讽刺——是事实。开源被多种力量捕获了。它仍然没死。这件事的意义远超它的具体形态。
它意味着:一种自下而上的、跨国的、基于自愿协作的、依赖于法律工具反向使用的、由具体的人组成的运动,可以持续 40 年,能够穿越所有主权穿透,能够仍然在全球数十亿台设备上运行。这不是任何政府的功劳。不是任何公司的功劳。是 Stallman、Linus、Behlendorf、Collin、Stenberg、Goers、Freund 这些人——以及他们之前和之后的几千几万个 maintainer——共同的功劳。
他们没有得到什么金钱回报。没有什么名声。没有什么稳定的工作保障。但他们做的东西——这本书每一章都谈到的开源运动——是现代社会最有意义的合作实验之一。
如果你现在仍然在维护开源项目,谢谢你。如果你曾经是 maintainer,谢谢你。如果你下载过别人的开源软件、用过、贡献过 issue 或 PR——你也是这个奇迹的一部分。
开源没死。它在继续。这就是这本书的全部内容。
References
-
Communications of the ACM: “Anti-Sanctions: New Operating System for Mobile Devices”. Link →
-
Linux Foundation Annual Report 2023. 包括项目数量、贡献者规模。Link →
-
多个开源基金会(Linux Foundation、Apache、CNCF、PyTorch Foundation)对地缘政治压力的实际应对策略。
-
Sovereign Tech Fund / Agency 详见第 3、7 章。Link →
-
未来观察指标详见 research/future-indicators/ 与 frameworks/series-outline.md。
-
Vice: “The Internet Was Built on the Free Labor of Open Source Developers. Is That Sustainable?” 早期深度报道。Link →