Cal.com成立於2022年,其CEO兼聯合創始人Bailey Pumfleet當時曾寫道:"Cal.com將是一個開源項目,因為現有日程安排產品的局限性只有通過開源才能解決。"
Cal.com憑藉這一理念取得了成功,目前已躋身規模最大的Next.js項目之列。然而,Pumfleet近日表示,由於"Claude Opus等AI程序能夠掃描代碼以發現漏洞",該公司正將項目授權從GNU Affero通用公共許可證(AGPL)遷移至專有許可證,以保障程序的安全性。
多年來,許多公司出於商業考量,已陸續從開源許可證遷移至半專有許可證。而Cal.com此次的舉措則更為徹底,也可能令開源支持者感到不安——面對AI黑客的威脅,該公司決定全面關閉其商業開源項目。
Cal.com聯合創始人Peer Richelsen表示:"開源安全一直依賴於人們去發現和修復問題。而現在,AI攻擊者正在利用這種透明度大做文章。"Pumfleet也補充道:"開源代碼基本上就像是把銀行金庫的圖紙公之於眾,而現在研究這份圖紙的黑客數量增加了100倍。"
Anthropic的Mythos模型在今年4月初已證明其能夠突破全球部分最安全的軟體系統,最典型的案例是該模型在以安全著稱的OpenBSD系統中發現了一個嚴重的安全漏洞。
不過,促使Cal.com做出這一重大轉變的並非Mythos。Pumfleet解釋道:"我們早就預見到了這一趨勢。即便沒有Mythos,將Claude Opus等上一代模型指向一個開源代碼庫來尋找漏洞也已經輕而易舉。"
Cal.com還引用了Hex Security首席執行官Huzaifa Ahmad的觀點:"開源應用程序被利用的難度比閉源應用程序低5到10倍。這導致Cal.com所處的軟體經濟領域正在發生根本性的轉變——擁有開放代碼的公司將被迫在泄露客戶數據與關閉代碼公開訪問之間二選一。"
"我們致力於保護敏感數據,"Pumfleet說道,"我們希望專注於做一家日程安排公司,而不是一家網路安全公司。Cal.com處理著用戶的敏感預約數據,我們不會因為熱愛開源而將這些數據置於風險之中。"
儘管商業版本已不再開源,Cal.com仍發布了Cal.diy——這是一個面向個人愛好者的完全開源版本,允許用戶在處理高價值數據的封閉應用之外進行自由探索和實驗。
Pumfleet最後表示:"這一決定完全是出於對開源模式所帶來的安全漏洞風險的考量。我們依然真心熱愛開源,如果情況發生變化,我們會重新走向開源。只是眼下,我們無法拿客戶數據去冒險。"
AI的發展對開源項目和開發者而言正是一把雙刃劍。那些沒有足夠資源來應對大量AI漏洞攻擊的中小型公司,是否也會步Cal.com的後塵?值得持續關注。AI正在深刻改變的,不僅是開源代碼的編寫方式,更是整個開源商業模式的走向。
Q&A
Q1:Cal.com為什麼要放棄開源許可證?
A:Cal.com放棄開源的核心原因是AI帶來的安全威脅。像Claude Opus這樣的AI程序能夠快速掃描開源代碼並發現安全漏洞,相當於把銀行金庫的圖紙公開給所有人。公司聯合創始人表示,開源應用程序被攻擊利用的難度比閉源應用低5到10倍,為保護用戶的敏感預約數據,公司決定將授權遷移至專有許可證。
Q2:Cal.com放棄開源後,普通用戶還能使用開源版本嗎?
A:可以。Cal.com在關閉商業開源版本的同時,專門發布了Cal.diy,這是一個面向個人愛好者的完全開源版本。用戶可以通過Cal.diy進行自由探索和實驗,但處理高價值敏感數據的商業版本則已轉為專有授權。
Q3:Anthropic的Mythos模型能攻擊哪些系統?
A:Anthropic的Mythos模型在2025年4月初展示了突破全球部分最安全軟體系統的能力。最典型的案例是,該模型成功在以安全性著稱的OpenBSD作業系統中發現了一個嚴重的安全漏洞。不過Cal.com表示,即使沒有Mythos,上一代AI模型也已經能輕鬆掃描開源代碼庫並找到漏洞。
