開源之踵：2 個月 9000 星的 Nofx 和它的黑客門、內鬥門、開源門

?作者：WquGuru

寫作背景

在正式展開這個故事之前，我需要說明自己在這個事件中的位置。

我是一個旁觀者和分析者。在Nofx專案爆火期間，我曾開發過nof0專案------二者靈感均來自nof1。在開發過程中，我與Nofx的核心成員Tinkle和Zack都有過溝通交流，主要圍繞技術實現和開源協作展開。

需要明確的是：我與Nofx團隊之間僅有技術交流，沒有任何商業合作關係；與ChainOpera AI（COAI）團隊則無直接接觸。在撰寫這篇文章時，我盡力保持客觀中立的立場，所有分析和判斷都基於公開可查的資料，包括GitHub記錄、社交媒體發言、安全報告等。

事件時間跨度：

• 2025年10月底：Nofx專案啟動，短短2個月在GitHub獲得近9000星

• 2025年11月：安全漏洞暴露，SlowMist發布安全警告（黑客門）

• 2025年12月：開源協議爭端爆發（開源門），同時團隊內部分裂浮出水面（內鬥門）

整個事件持續約2個月，卻集中暴露了Web3開源運動中的多重矛盾。

寫作這篇文章的目的，不是為了站隊或指責任何一方，而是希望：

• 完整記錄這一Web3開源運動的典型案例

• 探討開源精神與商業利益之間的深層衝突

• 為行業未來的規範建設提供反思和參考

現在，讓我們從頭開始梳理這個複雜的故事。

序幕：一個AI交易專案的爆紅

2025年10月底，一個名為Nof1的AI自動交易專案在推特引爆。短短數天，它的多個開源版本------包括nof0、nofx等------在GitHub上獲得了數千star。其中，Nofx專案從10月底開始開發，到12月已經積累了超過9000個star，成為AI Trading領域最受關注的開源專案之一。

然而，僅僅兩個月後，這個明星專案陷入三重危機：

黑客門：區塊鏈安全公司SlowMist披露，Nofx存在嚴重安全漏洞，導致全網1000多個部署實例的用戶交易所API密鑰、私鑰、錢包地址完全暴露。Binance、OKX等主流交易所緊急介入，協助受影響用戶更換憑證。

內鬥門：專案核心成員Tinkle公開指控另一位聯合創始人Zack"僅參與14天、貢獻幾行代碼"卻索要50%股權和50萬美元。Zack則通過律師發出正式法律文件，指控Tinkle"侵吞資產、利益輸送"，並提供了顯示雙方各持50%股權的合夥企業註冊文件。

開源門：Nofx公開指控融資1700萬美元的ChainOpera AI（COAI）違反AGPL開源協議，在未開源的情況下使用其代碼部署商業產品。COAI則反駁稱，Nofx在11月3日仍是MIT協議，11月4日才改為AGPL，且其產品使用Python開發，與Nofx的Go實現完全不同。

一個社區熱捧的開源專案，為何會在短短兩個月內陷入如此複雜的多重危機？這背後暴露了開源社區、創業團隊、投資生態的哪些系統性問題？讓我們通過五個關鍵問題，深入剖析這場風波。

問題1：開源協議真的被違反了嗎？

MIT與AGPL：兩種截然不同的開源哲學

在討論Nofx與COAI的協議爭端之前，我們需要理解兩種開源協議的根本差異：

MIT License（麻省理工學院許可證）是最寬鬆的開源協議之一。它允許：

• 自由使用、修改、分發代碼

• 用於商業目的無需開源

• 唯一要求：保留原作者版權聲明

AGPL v3.0（GNU Affero通用公共許可證）則是最嚴格的開源協議之一。它要求：

• 任何使用該代碼的專案必須同樣開源

• 特別地，即使通過網絡提供服務（如SaaS），也必須公開源代碼

• 必須在明顯位置標註原項目信息

從MIT到AGPL，是從"極度寬鬆"到"極度嚴格"的180度轉變。這也是本次爭議的核心。

協議變更與時間爭議

Nofx專案的開源協議從MIT變更為AGPL，但具體變更時間成為爭議焦點，這個時間點至關重要，因為它直接決定了ChainOpera（COAI）團隊在fork代碼時應當遵守的協議。

雙方證據對比：

• Nofx團隊提供了GitHub commit記錄，顯示協議文件修改時間

• COAI團隊則指出，根據他們的記錄和觀察，協議變更的公開時間點存在疑問

ChainOpera的"抄襲"指控

Nofx社區發現融資1700萬美元、在Binance Alpha上線的ChainOpera（COAI）專案，其代碼與Nofx高度相似。

Nofx方面的指控：

• COAI在未標註來源、未公開源碼的情況下使用了Nofx的代碼

• 根據當時生效的AGPL協議，COAI應該： 明確標註代碼來源 公开修改后的源代码 同样采用AGPL协议

COAI方面的回應：

• 主張自己fork代碼時，Nofx仍采用MIT協議

• MIT協議允許商業使用且無需公開源碼

• 協議變更時間點的爭議影響了整個事件的性質判斷

開源協議爭端：誰對誰錯？

這場爭端暴露了Web3開源生態中的深層次問題：

協議變更的有效性問題：

• 追溯效力爭議：開源協議變更是否對已fork的代碼有約束力？

• 時間點認定：協議變更的確切時間難以完全確定，雙方各執一詞

• 證據可信度：GitHub記錄可能被修改，需要更權威的第三方驗證

• 協議變更傳遞：MIT變更為AGPL，多大程度向社區傳遞了這個消息

商業利益的衝突：

• COAI獲得大額融資並上線Binance，商業價值巨大

• Nofx作為開源專案，商業化路徑不明確

• 核心矛盾：開源共享精神與商業利益保護之間的平衡難題

社區觀點分化：

• 支持Nofx者認為，COAI利用開源代碼獲利卻不回饋社區

• 支持COAI者認為，MIT協議本就允許商業使用，且協議變更時間存疑

• 中立觀察者指出，時間爭議是關鍵，需要更可靠的證據來判斷

法律與技術的灰色地帶：

• 開源協議在鏈上專案中的法律效力尚不明確

• GitHub記錄的可篡改性削弱了其作為證據的可信度

• Web3行業缺乏成熟的開源糾紛解決機制

小結：一場有爭議的指控

從目前公開的證據看，Nofx對COAI的開源協議侵權指控存在多處疑點：

1. 時間節點存疑：GitHub證據顯示11月4日才改AGPL

2. 技術實現不同：接口命名相同不代表代碼相同

3. 日誌解釋合理：MIT階段插入的統計功能會持續記錄

4. 自身涉嫌違規：未告知用戶植入統計，可能違反隱私法案

5. 溝通程序草率：同分鐘發郵件和公開指控

值得注意的是，協議變更時間的爭議對整個事件性質判斷具有決定性影響。如果Nofx的主張成立，COAI確實存在違反AGPL協議的問題；但如果COAI的主張成立，他們的行為則完全符合MIT協議的規定。這個時間點的認定，仍需更權威的第三方驗證。

問題2：14天能值50%股權嗎？

如果說開源門是Nofx與外部的爭議，那麼內鬥門則是這個專案內部矛盾的公開化------一場關於"貢獻"與"價值"的創始團隊爭奪戰。

時間線：從加入到對抗

2025年10月28日：Nofx開始開發；

2025年10月29日：Zack加入專案（此時專案剛開源一天）；

2025年11月初：Zack提出要50%股權，理由是能介紹Amber Group參與商業化；

2025年11月初：Tinkle拒絕給50%股權，認為自己是團隊CEO兼CTO，Zack貢獻不足；

2025年11月19日：Zack的律師（君合律師事務所香港辦公室）發出正式的"無損權益和解要約"（Without Prejudice Save as to Costs），要求支付50萬美元回購Zack持有的50%股權；

2025年12月：矛盾公開化，雙方在社交媒體互相指控；

從時間上看，Zack從加入到發律師函，前後不到一個月，這確實很短。

對峙：兩份截然不同的證據

Tinkle的敘事：

• Zack僅參與14天

• 貢獻了幾行代碼（"可查"）

• 在專案已經開源、有數千TG群成員後才加入

• 以介紹Amber投資為籌碼索要巨額股權

• 被拒後扣押專案推特帳號

• 通過律師函索要50萬美元，涉嫌敲詐勒索

• Zack曾是Amber實習生，但未轉正已離開

• 最終未能引入Amber投資

Zack的反擊：

• 提供APEIRON LABS PTE. LTD.的公司註冊文件

• 文件顯示：Tinkle和Zack各持50%股權

• 這是新加坡公司註冊系統的公開信息，任何人可驗證

• 律師函是標準的"無損權益和解要約"，符合商業法律程序

• 主體是Demand Letter，詳細記錄了Tinkle"侵吞資產、利益輸送"的行為

• 50萬美元不是敲詐，而是按低估值回購Zack的合法權益

• 反問：如果公司有價值，按100萬美元估值回購50%股權不是很合理嗎？如果沒價值，那Tinkle為何要說這是"勒索"？

核心矛盾：貢獻如何量化？

這場爭議的本質是一個古老的創業難題：技術貢獻vs資源引薦，哪個更值錢？

從代碼貢獻角度，Tinkle的說法可能有一定道理。GitHub的commit記錄是公開的，如果Zack確實只有少量代碼的提交，這在技術圈是容易驗證的事實。一個開發了60天的專案，另一個人參與14天，從時間和代碼量來說，貢獻差距確實巨大。

但從股權角度，Zack拿出了法律文件。APEIRON LABS PTE. LTD.的註冊信息顯示，雙方簽署的是50-50的股權分配協議。這意味著：

1. 雙方曾經達成過正式的法律協議

2. 協議認可Zack持有50%權益

3. 這不是口頭承諾，而是在政府部門登記的法律事實

那麼問題來了：為什麼Tinkle會同意這樣的股權分配？

Amber這張牌到底值多少？

關鍵變量是Amber Group------或者更準確說，是Amber的生態加速器amber.ac。

Zack的籌碼是：他能介紹Amber參與Nofx的商業化。根據Tinkle的說法，Zack曾是Amber的實習生（雖然未轉正已離開）。在加密行業，能引入頂級機構的背書和資金，確實是巨大的價值。

但最終的結果是：

1. Amber沒有正式投資Nofx

2. Amber官方聲明：與Nofx"無正式孵化、投資或商業合作關係"

3. Amber承認：曾有"友好交流"，但未導向正式合作

這就產生了兩種可能的解釋：

解釋A（支持Tinkle）：Zack誇大了自己的資源能力，用空頭支票換取股權，最終沒能兌現承諾，卻拒不交出股權，通過律師函要脅。

解釋B（支持Zack）：雙方確實達成了股權協議，Zack盡力嘗試引入Amber，但因Tinkle方面的問題（可能包括"侵吞資產、利益輸送"）導致投資未能落地。Zack作為合法股東，有權要求退出並獲得補償。

哪個解釋更接近真相？這需要更多內部材料才能判斷。

法律程序還是敲詐勒索？

Tinkle在社交媒體上公開Zack的律師函，並稱其為"敲詐勒索"。這個指控很嚴重，因為敲詐勒索是刑事犯罪。

但Zack的回應揭示了法律程序的專業性：

"無損權益和解要約"（Without Prejudice Save as to Costs）是英美法系中的標準法律程序，用於商業糾紛的和解談判。其特點是：

1. 受法律保護，不能作為訴訟證據（除非涉及訴訟費用）

2. 目的是鼓勵雙方和平解決爭端

3. 提出和解條件不構成勒索

4. 主體是Demand Letter，列明對方的違約或侵權行為

Zack的律師函要求50萬美元，但這個金額是基於：

• Zack持有公司50%股權的法律事實

• 按照公司100萬美元的保守估值計算

• 作為回購價格要求Tinkle買斷Zack的股權

從法律角度，這是完全合法的和解談判策略。如果Tinkle真認為這是"敲詐勒索"，正確做法是報警，而不是發推文。

Zack的"最後警告"也很有力度：

"如果你們真認為這是勒索，請立即報警。如果沒有膽量報警，就請停止這種荒謬的表演。"

被隱藏的指控：侵吞資產與利益輸送

在這場公開對峙中，有一個細節值得注意：Zack提到，律師函的主體是一份詳盡的Demand Letter，記錄了Tinkle"侵吞合夥資產、實施非法手段共謀"的行為。

這份Letter的完整內容並未公開，但這個指控非常嚴重。如果屬實，可能涉及：

1. 挪用公司資金用於私人用途

2. 與投資機構的個人進行利益交換

3. 違反合夥企業的信義義務

Tinkle對這部分指控沒有正面回應，只是說"不再回應此事，專注做產品"。

這種回避態度，反而讓人好奇：Demand Letter裡到底寫了什麼？

小結：一個無解的難題

創始團隊的股權糾紛，在創業圈屢見不鮮。Nofx的案例之所以引發關注，是因為它濃縮了這類糾紛的典型矛盾：

1. 口頭承諾vs書面協議：如果沒有書面股權協議，貢獻如何認定？

2. 技術貢獻vs資源引薦：兩種價值如何衡量？

3. 期望落空的責任：引資失敗是誰的責任？

4. 法律程序vs道德審判：和解談判是否等於敲詐？

從現有證據看：

• Zack有法律文件支持其50%股權

• Tinkle有代碼貢獻記錄支持其主導地位

• 雙方都有各自的narrative，但都缺乏完整證據鏈

最終的答案可能只能由法庭給出。但這個案例給所有創業團隊的警示是：

• 股權分配要趁早、要書面、要明確

• 貢獻量化要有客觀標準（代碼量、工作時間、資源價值）

• 重大決策要留存記錄

• 糾紛發生時優先法律途徑，而非輿論戰

問題3：開源專案為何成為安全重災區？

Nofx與COAI的協議之爭和內部的股權糾紛前，一個更嚴重的危機也曾悄然發酵：安全漏洞。

2025年11月，區塊鏈安全公司SlowMist發布了一份詳細的安全分析報告，揭露了Nofx專案存在的嚴重安全隱患。這不是一般意義上的"小bug"，而是可能導致用戶資金全面失竊的重大漏洞。

漏洞時間線：從零認證到默認密鑰

2025年10月31日 - Commit 517d0c：零認證的原罪

在這個commit中，Nofx的代碼存在一個致命缺陷：

• admin_mode默認設為true

• 中間件允許所有請求無驗證通過

• /api/exchanges接口完全開放

這意味著什麼？任何人只要知道一個部署了Nofx的伺服器地址，就可以直接訪問/api/exchanges接口，獲取：

• api_key：用戶的交易所API密鑰

• secret_key：交易所密鑰

• hyperliquidwalletaddr：Hyperliquid錢包地址

• asterprivatekey：Aster平台的私鑰

拿到這些信息，攻擊者可以：

1. 完全控制用戶的交易所賬戶

2. 進行虛假交易（wash trading）

3. 直接提取資金

4. 操縱市場價格

這是零防護的暴露，是安全設計的基本失誤。

2025年11月5日 - Commit be768d9："加固"的幻覺

可能是意識到了安全問題，Nofx團隊在這個commit中添加了JWT（JSON Web Token）認證機制。從表面看，這是一次安全加固。

但問題在於：

1. 默認的jwt_secret沒有更改

2. 如果用戶沒有設置環境變量，系統會回退到硬編碼的默認密鑰

3. /api/exchanges仍然以原始JSON格式返回所有敏感字段

這意味著：

• 攻擊者可以使用默認密鑰偽造JWT token

• 一旦獲得有效token，所有密鑰仍會完整洩露

• "加固"版本在實際上仍然脆弱

這就像給一扇門加了一把鎖，但鑰匙就放在門口的地墊下面，所有人都知道。

2025年11月13日 - Dev分支：持續的隱患

即使到了11月13日，dev分支的代碼仍然存在多項問題：

• authMiddleware的實現仍有缺陷（api/server.go:1471--1511）

• /api/exchanges繼續直接返回完整的ExchangeConfig（api/server.go:1009--1021）

• 配置文件中仍然硬編碼adminmode=true和默認jwtsecret

• 主分支（origin/main）甚至還停留在10月31日的零認證版本

這不是偶然的疏忽，而是系統性的安全意識缺失。

發現與響應：SlowMist的關鍵行動

情報來源：安全研究者@Endlessss20向SlowMist提供了Nofx存在安全隱患的初始情報。

深度分析：SlowMist安全團隊對Nofx的GitHub代碼進行了完整審計，識別出上述兩個主要認證問題。

全網掃描：更令人震驚的是，SlowMist進行了互聯網範圍的掃描，發現了超過1000個公開可訪問的Nofx部署實例，其中許多使用默認或脆弱配置，用戶憑證完全暴露。

這不是理論上的安全風險，而是正在發生的現實威脅。

緊急協調：鑑於風險的緊迫性，SlowMist立即聯繫了主流交易所：

• 向Binance和OKX安全團隊提供情報

• 兩家交易所獨立進行交叉驗證

• 使用獲取的API密鑰追蹤受影響用戶

• 通知用戶並協助輪換密鑰

• 阻止潛在的wash trading攻擊

處理進展：截至2025年11月17日，所有中心化交易所（CEX）用戶的暴露密鑰已經處理完畢。但部分Aster和Hyperliquid用戶由於錢包去中心化，難以直接觸達，需要用戶自查。

影響範圍：不只是技術問題

這次安全事件的影響遠超技術層面：

直接受害者：

• 使用Nofx進行自動交易的1000+用戶

• 涉及Binance、OKX、Hyperliquid等多個平台

• 暴露的不只是API密鑰，還包括私鑰和錢包地址

潛在損失：

• 如果攻擊者在交易所介入前行動，用戶資金可能全面失竊

• AI自動交易系統的特點是高頻、大額，損失可能非常驚人

信任崩塌：

• 社區對Nofx專案的安全性失去信心

• 對整個開源AI Trading生態產生質疑

• 開發者在選擇開源專案時更加謹慎

深層追問：為何會出現如此低級的錯誤？

Nofx的安全漏洞不是高深的技術挑戰，而是基本的安全常識：

1. 認證機制應該默認開啟，而非默認關閉

2. 默認密鑰應該是隨機生成的，而非硬編碼的

3. 敏感數據應該加密或脫敏，而非明文返回

4. 配置文件應該明確警告安全風險

這些是任何有經驗的開發者都應該知道的原則。那么為什麼Nofx會犯這些錯誤？

可能的原因：

1. 快速開發優先：在AI Trading熱潮中，搶佔先機比安全更重要

2. 團隊經驗不足：可能缺乏處理用戶資金的安全經驗

3. 測試環境配置生產化：為了方便測試而關閉認證，結果這個配置進入了生產環境

4. 安全審計缺失：開源專案往往缺乏專業的安全審計

但最根本的原因可能是：開源≠安全。

很多人以為，開源代碼意味著"千萬雙眼睛"在審查，所以更安全。但現實是：

• 大多數用戶只是使用者，不是審查者

• 即使發現問題，也不一定有能力或意願提交修復

• 安全審計需要專業知識和大量時間

• 商業公司有安全團隊，開源專案往往沒有

責任邊界：開源作者該承擔多大責任？

這裡引出一個有爭議的問題：當用戶因為使用開源軟體的漏洞而遭受損失，開源作者是否應該承擔責任？

從法律角度，大多數開源協議（包括MIT和AGPL）都有免責聲明：

"軟體按'原樣'提供，不提供任何明示或暗示的保證…作者不對任何損害負責。"

但從道義角度，當你知道自己的代碼會被用戶用於管理真金白銀的資產時，是否應該有更高的安全標準？

Nofx的案例特殊之處在於：

1. 這是一個AI自動交易系統，直接涉及用戶資金

2. 專案獲得了9000+ stars，有大量用戶使用

3. 漏洞不是隱蔽的高級攻擊，而是基本防護的缺失

4. 問題存在數周，期間持續有新用戶部署

行業啟示：AI Trading的特殊風險

Nofx的安全危機揭示了AI Trading這個領域的特殊風險：

自動化的雙刃劍：

• AI交易系統設計為7x24小時自動運行

• 一旦被攻破，攻擊者可以快速執行大量交易

• 用戶可能數小時後才發現資產已被轉移

開源與安全的矛盾：

• 開源有助於社區改進和審查

• 但也讓攻擊者更容易發現漏洞

• 在安全修復完成前，漏洞就已經被公開

用戶教育的缺失：

• 很多用戶不理解部署AI交易系統的風險

• 直接使用默認配置，不知道要更改密鑰

• 在公網暴露服務，沒有基本的安全防護

SlowMist的範本意義

在這次事件中，SlowMist的行動值得稱讚：

1. 快速響應：接到情報後立即深度分析

2. 主動掃描：不等待用戶報告，主動發現受影響實例

3. 行業協作：與交易所緊密配合，而非各自為戰

4. 公開披露：在處理完緊急情況後發布詳細報告，教育社區

5. 明確立場：強調這不是批評，而是風險降低

這種責任披露（Responsible Disclosure）機制，是行業安全的基石。

小結：開源不是免死金牌

Nofx的安全漏洞事件告訴我們：

1. 開源專案需要安全審計：即使是快速迭代的專案，也不能跳過安全檢查

2. 默認配置要安全優先：方便開發和方便攻擊往往是一體兩面

3. 用戶資金必須特殊對待：涉及金錢的系統，安全是不可妥協的底線

4. 社區需要建立安全響應機制：SlowMist的行動提供了一個好的範例

5. 技術能力≠安全意識：能寫出功能代碼，不代表能寫出安全代碼

問題4：Amber的"背書"到底值多少？

在Nofx的多重危機中，有一個細節很容易被忽略，但它揭示了加密行業一個普遍問題：背書文化。

背書的出現："Backed by@amberac"

在事件爆發前，如果你訪問Nofx的Twitter主頁，會在簡介中看到這樣一行字："Backed by@amberac"

這是什麼意思？在加密行業，"backed by"通常意味著：

• 獲得了該機構的投資

• 或者至少是孵化支持

• 是一種官方認可的關係

Amber Group是加密行業的知名機構，擁有強大的資金和資源。amber.ac則是其生態加速器。對於一個新興開源專案來說，獲得Amber的背書，意味著：

1. 信用背書：專案更可信，吸引更多用戶

2. 融資便利：其他投資人會更願意跟進

3. 資源支持：可能獲得技術、市場、法律等支持

4. 社區信心：用戶更願意參與和貢獻

這就像一個創業者拿到了頂級VC的term sheet，即使還沒拿到錢，光是這個背書就能帶來巨大價值。

Zack的籌碼：我能帶來Amber

回到內鬥門的背景，Zack索要50%股權的重要籌碼就是：他能介紹Amber參與Nofx的商業化。

根據Tinkle的說法，Zack曾是Amber的實習生。在行業裡，這種背景意味著一定的人脈資源。Zack向Tinkle承諾，可以引入Amber的投資或孵化支持，作為交換，他要求獲得50%股權。

從商業邏輯看，這個交易是合理的：

• 如果Zack真能帶來Amber的投資，那這個價值遠超14天的代碼貢獻

• 對於一個開源專案，獲得頂級機構背書可能是從0到1的關鍵跳躍

• 50%股權在初創階段的分配中，給資源引薦方也並非沒有先例

但關鍵問題是：Amber最終來了嗎？

Amber的澄清："無正式孵化、投資或商業合作關係"

2025年12月，當Nofx的內鬥和開源門都鬧得沸沸揚揚時，amber.ac發布了一份官方聲明：

"amber.ac與Nofx無正式孵化、投資或商業合作關係。我們曾基於行業觀察與Nofx進行友好交流，但這些交流未導向任何正式合作。我們所有正式合作均會通過官方網站公示。"

這份聲明很微妙：

1. 否認正式關係：沒有投資、沒有孵化、沒有商業合作

2. 承認有過接觸："友好交流"、"行業觀察"

3. 強調程序：正式合作會有官方公示

4. 劃清界限：這是一個公開的切割

那麼問題來了："友好交流"和"backed by"之間，差距有多大？

背書的消失：刪除與解釋

在Amber發布聲明後不久，社區發現Nofx悄悄刪除了Twitter簡介中的"Backed by@amberac"字樣。

有網友質疑，Nofx小編回應：

"感激Amber早期支持，因當前事件和對方要求，尊重意願刪除。"

這個回應又引出了新的問題：

1. "早期支持"是什麼：如果沒有正式合作，支持指的是什麼？

2. "對方要求"刪除：是Amber主動要求切割嗎？

3. "當前事件"影響：是因為醜聞才被要求刪除嗎？

從Amber的角度，這個切割是必要的：

• Nofx陷入安全漏洞、股權糾紛、協議爭端

• 任何與Nofx的關聯都可能損害Amber的聲譽

• 尤其是如果用戶因使用Nofx遭受損失，Amber不想承擔任何責任

從Nofx的角度，這個刪除很尷尬：

• 原本引以為傲的背書突然消失

• 給外界的印象是"連投資人都跑了"

• 進一步打擊了社區信心

"生態加速器"vs"正式投資"：灰色地帶amber.ac的定位是"生態加速器"，而非直接的投資基金。這個定位的模糊性，正是問題的根源。

生態加速器通常提供：

• 導師指導和行業建議

• 社區資源和網絡連接

• 活動參與和品牌曝光

• 但不一定提供直接資金

正式投資關係包括：

• 明確的投資金額和股權比例

• 法律文件（投資協議、股東協議）

• 董事會席位或觀察員權利

• 定期的財務和運營匯報

Nofx與amber.ac的關係，可能介於兩者之間的灰色地帶：

• 有過一些交流和指導（"友好交流"）

• Nofx認為這構成"支持"，可以標註為"backed by"

• amber.ac認為這不構成"正式合作"，不應該被公開宣傳

• Zack可能確實促成了這些交流，但最終沒有轉化為投資

背書文化的泛濫：加密行業的通病

Nofx-Amber事件只是冰山一角。在加密行業，背書文化已經泛濫成災：

常見的背書套路：

1. "某某機構領投"：實際可能只是小額跟投

2. "某某大佬站台"：可能只是發了一條轉發

3. "某某加速器孵化"：可能只是參加了一次Workshop

4. "某某交易所合作"：可能只是提交了上幣申請

背書的真實價值鏈：

• 頂層：正式投資協議，明確金額和條款

• 中層：加速器入選，有明確支持計劃

• 底層：參加活動，獲得曝光機會

• 最底層：私下聊天，給了一些建議

問題是，很多專案有意將底層的關係包裝成頂層的背書。

為什麼投資機構默許這種模糊：

1. 拓展影響力：更多專案提及自己，擴大品牌

2. 期權思維：先建立弱連接，未來可能轉化為投資

3. 舉手之勞：一次交流的成本很低，但對專案方價值很大

4. 灰色收益：一些機構可能收取"顧問費"或"品牌使用費"

為什麼專案方熱衷於此：

1. 融資需要：有背書更容易拿到後續融資

2. 用戶信任：社區更願意相信有機構背書的專案

3. 競爭壓力：別的專案都在宣傳背書，自己不說就落後了

4. 虛榮心理：創始人也需要這種認可

反思：背書的責任邊界在哪裡？

Nofx-Amber事件引發了一個深層問題：當一個機構的名字被用於背書，它應該承擔多大責任？

如果Amber真的投資了Nofx：

• 作為股東，有監督和治理責任

• 專案出現重大問題，投資人應該介入

• 用戶損失，投資人可能承擔一定道義責任

如果只是"友好交流"：

• Amber沒有法律義務

• 但專案方使用其名字做背書，Amber應該及時糾正

• 如果明知被濫用而不制止，是否構成默許？

在Nofx案例中：

1. Nofx在Twitter上標註"Backed by Amber"數周（可能數月）

2. Amber作為專業機構，有社交媒體監控能力

3. 如果他們真的沒有正式合作，為何不早点澄清？

4. 是否等到Nofx出事，才急於切割？

這種"事前模糊、事後切割"的模式，損害的是整個行業的信任基礎。

小結：背書不是免費的午餐

Amber-Nofx事件的啟示：

1. 對專案方：不要誇大與機構的關係，虛假背書遲早會被拆穿

2. 對投資機構：明確背書的邊界，及時糾正濫用，承擔相應責任

3. 對用戶：學會識別真假背書，查證投資機構的官方渠道

4. 對行業：建立背書的標準和規範，減少灰色地帶

在加密行業，背書是一種社交資本。但像所有資本一樣，它需要規則和責任。當每個人都在透支這種信任，最終的結果是整個行業的信用崩塌。

問題5：這場風波暴露了什麼系統性問題？

當我們抽離具體的指控和反駁，跳出Nofx個案的細節，會發現這場風波指向了五個深層的系統性問題------它們不僅存在於Nofx，而是整個加密開源生態的"阿喀琉斯之踵"。

問題一：開源精神在商業化浪潮中的異化

Nofx從MIT到AGPL的協議變更，表面上是技術決策，實際上折射出開源精神與商業利益的根本衝突。

開源的初心：

• 代碼共享，促進協作

• 站在巨人肩膀上，避免重複造輪子

• 社區驅動，集體智慧

商業化的現實：

• 需要保護商業利益

• 防止競爭對手"白嫖"

• 尋求變現路徑

MIT協議代表的是開源的理想主義：你隨便用，只要注明出處。這種慷慨吸引了大量開發者與社區注意力，Nofx才能快速積累9000+ stars。

但當Nofx看到COAI這樣的融資1700萬美元的專案可能在使用他們的代碼時，他們改變了主意。AGPL協議是開源世界裡最嚴格的"防火牆"：用我的代碼？那你也必須開源，而且不能閉源商用。

從Nofx的角度理解，這種轉變有其合理性：

• 協議選擇權：開源作者有權在專案發展過程中重新評估協議選擇，AGPL本身是合法且被廣泛使用的開源協議

• 利益不對等：當發現代碼被融資充裕的商業專案大規模使用時，小型開源團隊感到貢獻與回報不匹配

• 生態保護：AGPL的"傳染性"特徵旨在防止開源代碼被"據為己有"，保護開源生態的可持續發展

• 弱勢處境：面對擁有1700萬美元融資的競爭對手，開源專案在資源、法律、市場等方面都處於明顯劣勢

這種轉變本身無可厚非------開源作者有權選擇協議。但客觀存在的問題在於：

1. 沒有通知社區：協議變更未在社區公告，已經使用MIT版本的開發者可能不知情

2. 追溯式執法：用11月4日改的協議，去追究11月3日的行為

3. 選擇性指控：為什麼偏偏指控COAI，而不是其他使用MIT版本的專案？

4. 隱私數據收集：在MIT階段就植入Google統計，收集用戶數據卻不告知

從另一個角度看，Nofx的一些做法可能有其背景：

• 保護初衷：協議變更的根本目的可能是保護社區貢獻者的利益，而非針對特定競爭對手

• 能力局限：作為小團隊，在專案快速爆發期可能確實疏忽了規範的社區溝通流程

• 技術需求：Google統計可能是為了了解用戶使用情況、發現問題、改進產品，而非惡意收集數據

• 資源壓力：面對資金雄厚的商業競爭，開源專案確實缺乏對等的法律和市場資源

然而，即使理解這些背景，執行方式的問題依然存在。這已經不僅僅是捍衛開源精神的問題，而是如何在保護自身權益與維護開源生態信任之間找到平衡。

開源的異化表現為：

• 工具化：開源成為獲取用戶和關注的工具，而非目的

• 武器化：開源協議成為打擊對手的武器，而非協作的基礎

• 單向化：只要求別人開源，自己卻可以隨意變更規則

這種判斷需要謹慎。我們很難從外部完全了解Nofx團隊的內部決策過程和真實動機。開源協議變更本身是合法權利，問題的關鍵在於：

1. 執行方式：如何變更、如何通知、如何處理已有用戶

2. 透明度：決策過程是否公開、理由是否充分說明

3. 一致性：是否對所有類似情況一視同仁

這個案例暴露的，更多是整個Web3開源生態缺乏成熟規範的系統性問題，而非單純某一方的惡意行為。

雙方都有合理訴求：

• Nofx的訴求：開源貢獻者的勞動成果不應被商業專案無償佔用，需要得到應有的認可和回報

• COAI的訴求：在MIT協議下合法使用的代碼，不應在事後被追溯性地要求承擔AGPL義務

• 行業的困境：如何在鼓勵開源共享與保護創作者權益之間建立平衡機制

這種異化傷害的是整個開源生態的信任基礎。當開發者不確定一個MIT專案會不會突然改成AGPL並追溯執法，他們還敢