前两天看到一条新闻英国国民健康服务体系NHS下令关闭数百个 GitHub 仓库全部设为私有原因是安全担忧。不是某个军用级的加密库不是核设施控制系统的代码——只是一些普通的医疗数据处理工具。但因为底层依赖了一个被标记为「受管制」的开源组件整个仓库链都被波及。这不是孤例。美国2026财年国防授权法案签署后从AI到生物技术全面收紧了对华科技投资。与此同时开源代码的出口管制也在悄然加码。英伟达的H20芯片经历了「批准销售 → 暂停出口 → 访华前暂缓执行」的过山车但比芯片更隐蔽、影响面更广的是那行你随手npm install或git clone下来的代码——它可能已经成了某种意义上的「敏感物项」。一个普通开发者的视角想象一个场景你在做一个小项目一个 pet project就是那种大学时期因为「觉得好玩」而写的玩意。它不大不赚钱单纯是一个编译器玩具或者一个机器学习小工具。你把它挂在 GitHub 上MIT 协议谁都能用。突然有一天有人告诉你你这个项目里用的一段算法被列入了出口管制清单。不是因为你在代码里写了什么恶意逻辑仅仅是因为这个算法所属的领域——比如某种特定的加密方式或者某种中间表示的编译优化技术——被判定为「可能用于军事目的」。你怎么办你不知道。大多数开发者都不知道。因为我们习惯性地认为开源代码是自由的、开放的、不受国界限制的。但现实是开源的「开放」正在被地缘政治重新定义。从「全球公共品」到「受管控技术」开源软件曾经是人类科技史上最成功的协作范式一个芬兰大学生写了 Linux 内核全世界的开发者一起改进它最终支撑起了整个互联网基础设施。这种模式的前提是——代码没有国籍。但这个前提正在瓦解。2024年开始美国工业与安全局BIS陆续将某些AI模型权重、特定类型的编译器优化技术、以及部分加密算法纳入出口管制。这意味着如果你的项目包含这些技术你不能简单地把它放在 GitHub 上让所有人下载尤其是不能让它流向被制裁的国家和实体。问题的复杂性在于很少有开源项目的维护者清楚自己的代码里有没有「受管制成分」。你不是在写国防白皮书你只是写了一行if (condition) { optimize() }而这行代码恰好匹配了某个管制清单里的技术描述。更隐蔽的连锁反应NHS 关闭 GitHub 仓库只是冰山一角。大型企业在采购开源组件时开始加入「出口合规审查」环节。这听起来很合理——企业要守法嘛。但实际执行中合规部门为了降低风险常常采取「一刀切」策略只要某个组件的上游依赖中有任何来自受管制地区的贡献者整个组件就被标记为高风险。结果是什么结果是越来越多的开源项目开始自我审查。维护者会问自己如果我的项目被某个国家的开发者使用我会不会惹上麻烦如果我不确定我是不是干脆把项目设为私有或者限制某些地区的访问权限这是开源社区从未面对过的困境。过去开源的分裂来自于技术理念GPL vs MIT集中式 vs 分布式。现在分裂来自于你的代码能卖给谁。真正受伤的是谁大公司有法务部门有出口合规专家有专门的工具链来扫描和管理代码中的许可证风险。他们能承受这种复杂性。真正受伤的是那些小团队和个人开发者。是那个想在国产芯片上搭一套 AI 推理框架的学生发现参考代码库里一半的组件都带着「不得出口」的声明。是那个在技术论坛上问「为什么这个开源项目不让我下载」的嵌入式工程师。是像林默一样写了一堆 pet project、把青春熬成 commit 记录、然后在某个深夜发现自己的代码和这个时代的大气候撞了个满怀的程序员。代码从来没有政治立场。但写代码的人有国籍托管代码的平台有属地运行代码的芯片有出口许可证。结语我不认为开源会死。Linux 还活着GitHub 上每分钟还有成千上万的 commit。但开源正在进入一个新的阶段——一个代码需要「签证」的阶段。对普通开发者来说这可能意味着在选择下一个 pet project 的技术栈时多想一想它的许可证里有没有奇怪的附加条款在往 GitHub 上传代码之前多看一眼贡献者指南里的合规提醒。不是因为胆小是因为你永远不知道哪行你随手写的代码将来会出现在哪个国家的审查清单上。毕竟在这个时代一行代码和一颗芯片之间的距离可能比你想象的更短。本文讨论的是结构性问题不涉及具体政治立场。技术应该有国界吗欢迎评论区讨论。