MALUS - Açık kaynak telif/lisans bildirimlerinden kurtaran Clean Room as a Service

 (malus.sh)
4 puan yazan GN⁺ 2026-03-13 | 1 yorum | WhatsApp'ta paylaş
  • Yapay zeka robotları açık kaynak projelerini bağımsız olarak yeniden kuruyor ve yasal olarak ayrıştırılabilir kod ile şirket dostu lisans sunuyor
  • Orijinal koda bakmadan yalnızca dokümanları, API’leri ve tip tanımlarını analiz ederek işlevsel olarak aynı yazılımı yeniden yazıyor
  • Ortaya çıkan ürün MalusCorp-0 lisansı ile dağıtılıyor; telif/lisans bildirimi, kaynak kodu açıklama veya değişiklikleri paylaşma zorunluluğu yok
  • Kullanıcılar package.json gibi bağımlılık listelerini yüklediğinde, paket boyutu başına $0.01/KB üzerinden otomatik fiyat teklifi oluşturuluyor
  • Hedef, açık kaynak lisans uyumu yükünü ortadan kaldırmak ve şirketlerin hukuki riskini en aza indirmek

Açık kaynağın sorunları

  • Apache License bildirim zorunluluğu nedeniyle belgelere “Bu yazılımın bir kısmı…” gibi ifadeler ekleme gereği bir rahatsızlık unsuru olarak gösteriliyor
  • AGPL lisansı, kodun yalnızca bir kısmı kullanılsa bile tamamının açıklanmasını gerektirme riski taşıdığı için şirketlerde sıkça yasaklanıyor
  • Yüzlerce bağımlılık için lisans takibi ve denetimi zaman ve maliyet yaratıyor
  • Bazı lisanslar yapılan değişikliklerin topluluğa geri verilmesini şart koşuyor; bunun da hissedar çıkarlarıyla çeliştiği belirtiliyor

Çözüm: Robot-Powered Clean Room Recreation

  • Yapay zeka tabanlı clean room yeniden kurulum sistemi, orijinal koda hiç bakmadan yalnızca dokümantasyonu ve API spesifikasyonlarını analiz ediyor
    • Analiz robotları ile uygulama robotları birbirinden izole ekipler olarak çalıştırılıyor; böylece kopyalama veya türetilmiş eser oluşmadığı savunuluyor
  • Ortaya çıkan ürün yasal olarak bağımsız kod kabul ediliyor ve kullanıcı bunun tamamına sahip oluyor
  • Başlıca özellikler
    • %100 robot tarafından yazılmış kod
    • Orijinal kod maruziyeti %0
    • İşlevsel olarak aynı sonuç
    • Şirket dostu lisans seçimi imkanı
    • Yasal tazminat güvencesi (yurt dışı iştirak adına)

Liberation süreci

  • 1. adım: Manifest yükleme
    • package.json, requirements.txt, Cargo.toml gibi bağımlılık listelerini yükleyin
  • 2. adım: İzole analiz
    • Robotlar yalnızca README, API dokümantasyonu ve tip tanımlarını inceler
  • 3. adım: Bağımsız yeniden kurulum
    • Ayrı bir robot ekibi, spesifikasyonlara dayanarak kodu baştan yazar
  • 4. adım: Lisans özgürlüğü
    • Sonuç MalusCorp-0 License ile sunulur
      • Mevcut açık kaynak yükümlülükleri (bildirim, değişiklik paylaşımı, kaynak kod açıklama vb.) ortadan kaldırılır
      • Kullanıcının değiştirme, dağıtma ve ticarileştirme üzerinde kısıtlaması yoktur

Fiyatlandırma politikası

  • Boyut bazlı ücretlendirme: npm ölçütüne göre paketin açılmış boyutu (KB) × $0.01
    • Minimum sipariş tutarı $0.50
    • Örnek: lodash(1.3MB) → $13.78, moment(4.1MB) → $42.48
  • Dahil olanlar
    • Yapay zeka clean room yeniden kurulum ve MalusCorp-0 lisansı
    • 10 adet CSP spesifikasyon dokümanı
    • Paket başına en fazla 10MB, sipariş başına 50 pakete kadar
    • Abonelik ücreti yok, yalnızca özgürleştirilen kadar ödeme

Garanti ve örnekler

  • MalusCorp Guarantee™: İhlal ortaya çıkarsa tam para iadesi ve merkezin taşınması (uluslararası sulara) sözü
  • Başarı örnekleri
    • 847 AGPL bağımlılığı 3 haftada özgürleştirildi; satın alma sürecinde lisans sorunu ‘0’
    • Hukuk ekibinin öngördüğü 4 milyon dolarlık maliyet 50 bin dolara indirildi
    • 2.341 npm paketi yeniden kurularak uyumluluk dashboard’u anında normale döndü

Sık sorulan sorular

  • Yasallık: Orijinal koda bakmadan yapılan bağımsız yeniden kurulum olduğu ve hukuki emsale dayandığı belirtiliyor
  • Orijinal geliştiricilere ödeme yapılıyor mu?: Açık kaynak olarak yayımlamak onların tercihi olduğu için ayrıca ödeme yükümlülüğü olmadığı söyleniyor
  • Kopyalamadan farkı nedir?: Aynı işlevin bağımsız biçimde uygulanması olduğu, niyetin ve sürecin farklı olduğu ifade ediliyor
  • Hata çıkarsa ne olur?: Yalnızca işlevsel eşdeğerlik garanti ediliyor; hataların sorumluluğu kullanıcıya ait
  • Robotlar açıklanıyor mu?: Konum gizli, yalnızca enterprise müşteriler için NDA sonrası ziyaret mümkün
  • Desteklenen lisanslar: MIT, Apache, GPL, AGPL, LGPL, BSD, MPL dahil tüm lisanslardan özgürleştirme mümkün

Ödeme ve kullanım

  • Stripe üzerinden güvenli ödeme sonrası otomatik işlem
  • Teklif ücretsiz; ödeme için USD, EUR, BTC ve hisse opsiyonu destekleniyor
  • Hizmet, “Yeterince robot varsa açık kaynak yükümlülükleri yalnızca bir öneridir” ifadesiyle kapanıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-13
Hacker News görüşleri

  • Malus.sh blogunu okurken ilginç bir noktaya rastladım. Bu, onlarca yıldır hissettiğim bir sorun ve hukuk sisteminin hâlâ ele alamadığı bir alan var. Bu da uygulama maliyetleri (costs matter) meselesi
    Örneğin 55mph hız sınırı tabelası koymak tek başına yeterli değil. İnsan kullanarak aralıklı denetim yapmakla, robotlarla kusursuz denetim yapmak tamamen farklı politikalardır. Yasal metin aynı olsa da fiilî politika tamamen farklıdır
    Eskiden hukuk de jure (kâğıt üzerinde) ve de facto (fiilen) olarak farklıydı, ama artık teknoloji sayesinde ikisi örtüşebilir hale geldi. Buna rağmen kimse bu değişimin büyüklüğünü fark etmiyor. Uygulama kolaylaştıkça yasanın anlamı tamamen değişiyor. Yüzyıllar boyunca hukuk, ‘uygulamanın zor olduğu’ varsayımıyla tasarlandı; bunu körü körüne otomatikleştirmek herkes için kötü bir fikirdir
    Belki bir gün içtihatlarda ‘uygulama maliyeti’ hukukiliğin değerlendirilmesinin bir parçası olarak dikkate alınır

    • Daha kesin hukuk uygulamasını memnuniyetle karşılamamız gerektiğini düşünüyorum. Kusurlu uygulama seçici denetime yol açar ve bu da uygulayıcıya yasayı keyfî biçimde değiştirme gücü verir. Ama uygulama kusursuza yaklaştıkça kurallar ve cezalar da birlikte ayarlanmalıdır. Aksi halde toplumsal karmaşa çıkar. Hukuk aslında yavaş değişecek şekilde tasarlanmıştır, ama artık bu hıza yetişemeyebilir
    • Dean Ball, Ezra Klein Show'da aynı konuya değinmişti. Kusursuz uygulamanın adaleti getireceğini sanmıştım ama bir geçiş planı (migration plan) yoksa bunun hiçbir anlamı yok. Yapay zeka harika bir gelecek vaat ediyor ama oraya giden geçiş süreci en zor kısım
    • Bu sorun iki yönlü. Birçok devlet kurumu vatandaşların yazılı başvurularına yanıt vermekle yasal olarak yükümlü, ama geçmişte insanlar pek mektup yazmıyordu. Fakat LLM sayesinde artık herkes kolayca resmî mektup yazabiliyor. Yakında ‘şikâyet mektubu’ otomatik yazan yapay zekalar çıkarsa idari sistem bunu taşımakta zorlanacak
    • Pamela Samuelson ve Suzanne Scotchmer'ın makalesine bakılırsa (Yale Law Journal PDF), telif hakkı hukuku da ‘maliyeti olan dolambaçlı yolları’ olumlu görüyormuş. Yani tamamen ücretsiz ya da otomatik dolanmanın arzu edilir olmadığı düşünülmüş. Hukuk sisteminin maliyetin önemini örtük biçimde kabul etmiş olması ilginç
    • ‘Uygulama maliyeti önemlidir’ bakışını gerçekten seviyorum. 18. ve 19. yüzyıl yasaları polis gücünün sınırlı olduğu varsayımıyla yapıldı ama bugün gözetim teknolojisi her şeyi değiştiriyor. Kusursuz uygulamanın bir mahremiyet maliyeti var. Yine de otomatik uygulamanın seçici denetimdeki adaletsizliği azaltabileceği karşı argüman olarak kalıyor

  • Başta bunun bir hiciv olduğunu anlamamıştım. Ama biraz düşününce bunun OSS geliştiricilerine gelir döndüren bir modele dönüşebileceğini düşündüm. Mesela “clean room as a service” yapılır ama gelir Malus.sh'ye değil asıl telif sahibine gider. Tüm OSS'nin AGPL benzeri lisanslara geçmesi ve şirketlerin özel uyarlama istemek için ödeme yapması gibi. Böyle bir sistemin MVP'si nasıl olur merak ediyorum

    • Aslında bu site hiciv değil. Stripe ile ödeme alınabiliyor ve gerçekten kod üretiyor. Sadece hicivsel bir dille sunulmuş
    • Eğer bunu ciddiyetle öneriyorsan, zaten mevcut çifte lisanslama modeliyle benzer bir şey yapılabilir. Şakaysa komik, ciddiyse yanlış anlama olabilir
    • Copyleft'in asıl amacı yazılımın özgürlüğünü (freedom) korumaktı. Kodun bir kısmını kapatmayı önermek bu ilkeye doğrudan aykırı
    • Ben de önce bunun hiciv olduğunu anlamamıştım ama sayfanın altındaki sahte yorumları görünce hemen fark ettim. “847 AGPL bağımlılığını 3 haftada özgürleştirdik” gibi ifadeler gerçekten komikti
    • Böyle bir model aslında iyi çalışabilir. OSS geliştiricileri satış ya da danışmanlıkla uğraşmadan sadece geliştirmeye odaklanabilir. Kurumsal sponsorluk da gerekmez

  • “Açık kaynak bakımcılarına karşı suçluluk hissettim ama çeyrek dönem sonuçlarında suçluluk yer almıyor” cümlesi fazlasıyla gerçekçi.
    ◆ Chad Stockholder, Profit First LLC Mühendislik Direktörü

    • OSS ile ticari yazılım arasındaki ilişki her zaman ahlaki gerilim ve saf idealizmin karışımı olmuştur

  • “Cehenneme inanmıyorum ama varsa umarım bu insanlar için bir yer vardır” denecek kadar güçlü bir iticilik hissi veriyor. “Açık kaynak lisans yükümlülüklerinden kurtarıyoruz” ifadesi sadece duyması bile rahatsız edici. Üstelik “yapay zekamız orijinal kodu hiç görmedi” diyorlar; bunun bağımsız denetimle nasıl kanıtlanabileceği şüpheli. Hiciv olsa da tansiyon yükseltiyor

    • Hiciv ama aslında FLOSS lisansları iç kullanım için açıklama zorunluluğu getirmiyor. Yapay zeka tamamen yeni bir uygulama üretse bile telif hakkı koruması hâlâ kusurlu
    • Aslında bu proje FOSDEM'de sunulan bir hiciv. Yazarları da açık kaynak topluluğundan geliyor

  • Başta bunun hiciv olduğunu anlamamıştım ama bu da galiba bugünün gerçekliğini gösteriyor. Dünya fazla hızlı değişiyor

    • Bu site gerçekten Stripe ile ödeme alabiliyor. Hiciv gibi görünüyor ama gerçek bir hizmet
    • Ben de ilk başta hiciv olduğunu anlamamıştım ama sahte yorumları görünce rahatladım. Henüz gerçek olmadığına şükür
    • Ama adının ‘Malus’ olması, ancak sonradan bunun hiciv olduğunu fark ettiriyor
    • Adı ne olursa olsun, böyle bir şeyin sonunda gerçeğe dönüşeceğini düşünüyorum

  • Geleneksel clean-room implementation yaklaşımında ekipler ayrılır, bir taraf spesifikasyonu yazar, diğer taraf uygular. Ama LLM muhtemelen zaten orijinal kod üzerinde eğitildi. O zaman gerçek hukuki mesele şu: “Modelin kendisi kirli oda mı?

  • Gerçek örnek olarak chardet issue #327 ve #331 gösteriyor ki biri bu yaklaşımı deniyor

    • Opus 4.6 modelinin web erişimi olmadan bile chardet'in tüm kaynak kodunu hatırlayıp yeniden ürettiğine dair bir örnek var (gist bağlantısı)
    • Projeyi 10 yıldan uzun süredir sürdüren bir geliştirici MIT lisanslı yeniden uygulama için çabaladı ama topluluk onu suçladı. Böyle bir tepki gerçekten üzücü
    • Bu, ayrı bir tartışma başlığı olmayı hak edecek kadar önemli bir vaka

  • “Kodumuzun ihlal olduğuna karar verilirse tam para iadesi yapar ve merkezimizi açık denize taşırız” cümlesi gerçekten dahiyane bir hiciv. Sanki geleceği öngörüyor

    • Hicvin kalitesi çok yüksek. İlk bakışta gerçek gibi görünüyor ama okudukça her yere serpiştirilmiş kasıtlı ipuçları görülüyor. Bunun gerçeğe dönüşme ihtimali ise daha da ürkütücü

  • “Clean room” kavramıyla ilk kez beyzbol istatistik veritabanları üzerinden karşılaştım. Resmî veri ücretsizdi ama biçimi ve yapısı telif hakkına tabi olabiliyordu; bu yüzden hayranlar veriyi bağımsız şekilde yeniden kuruyordu. Baseball Mogul gibi oyunlar da bunu kullanmıştı. İleride bu tür bağımsız yeniden uygulama çabaları daha da artacak gibi görünüyor

  • Gerçekten müthiş bir hiciv. Ama neden hâlâ kimse bunu gerçekten bir hizmete dönüştürmedi? Açık kaynağı kullanıp bundan kâr etmek isteyen yeterince insan vardır herhalde. Acaba dava riski fazla yüksek olduğu için mi, yoksa zaten deneyenler var mı?

    • Aslında artık herkes modern LLM'leri kullanabiliyor, bu yüzden bir üçüncü tarafa para verip “clean-room implementation” yaptırmak için özel bir sebep yok. Asıl değer, hukuki riski üstlenen bir ambalajda (wrapper) olabilir
    • Dünyada kötü niyetli davranmak için çok fırsat var ama insanların çoğunun ahlaki sınırları var. Yine de böyle fikirler ortaya saçıldığında taklit suçlar (copycat crime) gibi gerçek girişimler artabilir
    • Aslında bu zaten oluyor. Bir geliştirici yapay zekaya “şu özelliği uygula, bu GitHub reposuna da bak” dediğinde, farkında olmadan yeniden uygulama gerçekleşebiliyor
    • Sorun güven ve güvenlik. Şirket sırlarını bir SaaS'a emanet etmektense yerel yapay zekayla işlemek daha iyi olur diye düşünüyorum. Zaten böyle sistemler mevcut ve aktif biçimde kullanılıyor
    • Ayrıca gerçekçi olmak gerekirse LLM'ler henüz karmaşık kodu kusursuz biçimde yazacak seviyede değil. Bu yüzden böyle bir hizmetin pratikte gerçekten işlemesi zor