删库了，全球工程师集体懵圈，到底谁在为开源买单？

去年一月开头那会儿，很多人早上打开电脑，终端突然疯狂刷屏，全是“LIBERTY LIBERTY LIBERTY”加一堆乱码字符。CI系统卡死，AWS CDK构建直接报错，连公司内部的脚手架都跑不起来。没人被黑，也没服务器被攻破，是作者自己把代码库删了。

faker.js和colors.js这两个包，平时看着不起眼，点进npm页面才吓一跳：一个周下载量八百万，另一个一千万出头。加起来快两千万次了。不是小项目，是真正在跑生产环境的轮子。结果说删就删，连个缓冲期都没有。

有人说他疯了。可翻他GitHub时间线，2020年10月家里着火，东西全烧光，他在GitHub Sponsors发求助，最后只收到不到一千块。后来他明说：“不想再给世界五百强白干活”，要么签年薪合同，要么社区来接。没人理。2021年他搞了个Faker Cloud想收点钱，结果别人抄他开源代码，三天就上线竞品，连招呼都不打。

删库前72小时，他还在issues里回用户，修一个日期格式bug。不是不维护，是维护不动了。他删的不是代码，是“我继续干下去还有什么意思”这句话的标点符号。

很多人第一反应是骂。安全圈说这破坏了供应链信任，npm条款也写了不能损害他人。可另一边，Reddit热帖底下最高赞是：“你用他写的库部署了千万级用户App，可提现游戏app他领的是食品券。”不是所有程序员都活在硅谷高薪里，有的人在德州小公寓修bug，靠Sponsors每月赚不到三百美金。

有意思的是，事情爆出来后，fork新项目很快出现。faker-js当天就有人建，ansi-styles连夜替代colors.js。但替代不难，难的是：为什么总要等炸了才有人动？为什么每次都是个体崩溃，然后社区手忙脚乱缝补？

npm后来加了“冻结恶意版本”功能，但只是冻住，不能自动替换。GitHub开了Critical Advisory通道，可审核名单全靠人工筛。OpenSSF 2023年真给了faker-js团队补贴，但全美只有100多个项目入选，还不到关键库的零头。

大公司也开始改规则。AWS现在要求所有SDK依赖的开源组件，必须有商业支持协议，否则进不了内部采购白名单。Google Cloud同款政策。这不是摆样子，是怕再出一次“liberty乱码”——上次是Zalgo，下次可能是真删数据库。

有人试过新路子。比如用BSL许可证，开源代码能免费用，但商用必须签协议。有的项目干脆改成“前三年开源，第四年转闭源”。听起来功利，可比等捐款实在。

不是所有开发者都想要钱。但至少，别让一个人干五个人的活，拿零个人的保障。他删库那天，删的不是代码，是“我还能信谁”的最后一道线。

后来faker-js活下来了，colors.js换了个名字继续跑。但事情没结束。上周我同事改一个旧项目，npm install完发现colors.js居然还在，只是版本锁死了。他问我：“这玩意儿现在谁在维护？”我说不知道。他点了下node_modules里的package.json，作者栏空着。

我也没细看。

就那样。