Давайте-ка отделим мухи от котлет.
Я говорю о намеренном добавлении зловредного функционала в свой код с целью украсть деньги у конечного пользователя своего продукта.
Не про баги и дыры, которые у всех есть и от открытости/закрытости почти не зависят.
Так вот, в таком поведении даже MS с их виндой (которых вы наверняка первыми упомянете в качестве примера разработчика/продукта, не отвечающих ни за что), даже бездоказательно, никто никогда не обвинял.
Если кто-то из разработчиков коммерческого продукта попытается с его помощью ограбить своих пользователей - то получит колоссальный репутационный (и в свою очередь денежный) ущерб, пропорциональный популярности продукта. Навряд ли (имхо точно нет) они смогут украсть больше с от одной до десятков машин (пока не поднимется большой кипеш), чтобы сумма украденного перекрыла эти потери. И если все же да - то у них (фирм) есть названия, адреса, фамилии и т.д., которые известны всем. И никакая ЕУЛА от уголовного кодекса их не защитит.
А теперь с той же позиции посмотрим например на безымянного разработчика маленького, но очень часто загружаемого (угораздило попасть в зависимости к очень популярному проекту) npm-пакета. Что он теряет, если добавит зловред в свой код? Деньги? Нет - он на нем ничего не зарабатывает. Репутацию? Да у большинства мелких пакетов вы даже личности авторов никогда не сможете узнать, чтобы потом попытаться найти у них репутацию :)
Так что, я считаю, очень маловероятно, что коммерческий вендор попытается вас явно обокрасть. Смысла нет (объяснение выше).
И очень вероятно, что это может сделать аноним с гитхаба, который вообще ничем не рискует.