整理｜華衛(wèi)

“開源已死，我們從未想過自己會(huì)說出這樣的話。”

近日，為開發(fā)者和企業(yè)構(gòu)建日程調(diào)度基礎(chǔ)設(shè)施的開源初創(chuàng)公司 Cal 突然宣布，正將其旗艦級開源項(xiàng)目轉(zhuǎn)為閉源模式，原因是該公司無力應(yīng)對 AI 攻擊其開源代碼的風(fēng)險(xiǎn)。

Cal 聯(lián)合創(chuàng)始人 Peer Richelsen 表示，“開源安全以往一直依賴人工發(fā)現(xiàn)并修復(fù)各類問題，如今 AI 攻擊者卻在公然利用這種代碼透明性發(fā)起攻擊?！?/p>

開源 5 年被 AI“嚇退”，

黑客多了 100 倍?

自成立之初，Cal 就宣稱旨在打造 Calendly 的開源替代品，在 GitHub 上收獲 4 萬多 star，并堅(jiān)持開源建設(shè)長達(dá)五年。其聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Bailey Pumfleet 曾寫道：“Cal.com 將作為開源項(xiàng)目運(yùn)營，因?yàn)楝F(xiàn)有日程調(diào)度產(chǎn)品的局限性，唯有通過開源才能解決?！?/p>

現(xiàn)在 Cal 發(fā)展十分成功，自稱是規(guī)模最大的 Next.js 項(xiàng)目，這也印證了其當(dāng)初的定位判斷。但如今，卻一夜之間因 AI 閉源了。

“開源代碼基本上就像是把銀行金庫的設(shè)計(jì)圖紙公之于眾。而現(xiàn)在研究這份圖紙的黑客數(shù)量，已經(jīng)暴增了 100 倍?！盤umfleet 補(bǔ)充道，“了解事物的內(nèi)部運(yùn)作原理，并進(jìn)行逆向工程來找到漏洞，要容易得多。”

Cal 還援引了 Hex Security 首席執(zhí)行官 Huzaifa Ahmad 的觀點(diǎn)稱，“開源應(yīng)用被攻擊利用的難度，比閉源應(yīng)用要低 5 至 10 倍。在 Cal 看來，這一現(xiàn)狀正引發(fā)軟件行業(yè)生態(tài)的根本性轉(zhuǎn)變。代碼開源的企業(yè)，要么被迫承擔(dān)客戶數(shù)據(jù)泄露的風(fēng)險(xiǎn)，要么就得關(guān)閉代碼的公開訪問權(quán)限?！?/p>

與大多數(shù)商業(yè)開源初創(chuàng)公司一樣，Cal 原本將源代碼公開供人查看和修改，其一大核心賣點(diǎn)便是允許開發(fā)者驗(yàn)證系統(tǒng)運(yùn)行邏輯、根據(jù)自身需求進(jìn)行適配，并在自有服務(wù)器上獨(dú)立部署。在此前“著佐權(quán)”協(xié)議 GNU Affero General Public License（AGPL）的授權(quán)下，Cal.com 支持這些操作，僅附帶一項(xiàng)條款：任何修改該軟件并將其作為服務(wù)運(yùn)行的主體，都必須公開其修改內(nèi)容。

Pumfleet 表示，像 Claude Opus 這類 AI 程序能夠全面檢索代碼并查找漏洞，因此該公司正將項(xiàng)目的開源協(xié)議從 GNU Affero 通用公共許可證（AGPL）變更為專有許可，以此保障項(xiàng)目安全。

“我們致力于保護(hù)敏感數(shù)據(jù)。我們想做一家日程調(diào)度公司，而非網(wǎng)絡(luò)安全公司。”他補(bǔ)充道，“Cal.com 處理著用戶的敏感預(yù)約數(shù)據(jù)，我們不會(huì)因?yàn)閷﹂_源的熱愛而拿這些數(shù)據(jù)冒這個(gè)風(fēng)險(xiǎn)。”

4 月初，Anthropic 的 Mythos 模型已證實(shí)，它可以識(shí)別和利用廣泛使用的軟件中的漏洞，甚至能夠侵入全球部分安全性最高的軟件系統(tǒng)。最典型的案例便是，Mythos 在極度注重安全的 OpenBSD 系統(tǒng)中發(fā)現(xiàn)了一處存在了 27 年的嚴(yán)重安全漏洞。作為一個(gè)以安全為中心的類 Unix 操作系統(tǒng)，OpenBSD 長期以來被認(rèn)為是同類操作系統(tǒng)中最堅(jiān)固的系統(tǒng)之一。

雖然目前 Mythos 功能僅限于通過 Glasswing 項(xiàng)目提供給特定合作伙伴，但其影響已經(jīng)顯現(xiàn)。對于那些基于開代碼構(gòu)建的公司而言，透明度和安全性之間的權(quán)衡正受到重新審視。現(xiàn)在，Cal 正成為率先響應(yīng)這一轉(zhuǎn)變的公司。

不過，促使 Cal 做出這一激進(jìn)轉(zhuǎn)變的并非完全是 Mythos。Cal.com 聯(lián)合創(chuàng)始人兼董事長 Peer Richelsen 表示，放棄開放式開發(fā)的決策早已開始醞釀。Pumfleet 解釋稱，“我們本就預(yù)見了這一趨勢。即便沒有 Mythos，只需讓 Claude Opus 這類上一代模型去分析開源代碼庫，就能輕而易舉地找到漏洞?！?/p>

“但時(shí)機(jī)令人擔(dān)憂”，Richelsen 這樣說道。

社區(qū)大吵：安全，還是另有所圖？

多年來，許多企業(yè)出于商業(yè)考量，已從開源許可轉(zhuǎn)向半專有許可模式。此舉或許算不上明智，但它們依然這么做了。而 Cal 的做法則是全新的，是因在 AI 黑客帶來的威脅面前不堪重負(fù)，才選擇徹底關(guān)停其商業(yè)開源項(xiàng)目。

Pumfleet 堅(jiān)稱，“做出這個(gè)完全是出于開源帶來的安全隱患。我們依然堅(jiān)定地?zé)釔坶_源，如果未來形勢發(fā)生變化，我們會(huì)重新采用開源。只是目前，我們不能冒客戶數(shù)據(jù)泄露的風(fēng)險(xiǎn)?！?/p>

當(dāng)被問及這類風(fēng)險(xiǎn)究竟源于代碼公開可見，還是源于代碼維護(hù)方式時(shí)，Pumfleet 表示兩者都是原因，但開源狀態(tài)顯著加大了暴露風(fēng)險(xiǎn)。他說：“僅僅是代碼公開這一點(diǎn)，就會(huì)讓風(fēng)險(xiǎn)急劇上升。問題不在于只封閉代碼或者加強(qiáng)代碼安全，而在于我們兩者都同時(shí)在做了。但僅僅加強(qiáng)代碼安全并不足以降低風(fēng)險(xiǎn)。”

并且，Pumfleet 否認(rèn)這一轉(zhuǎn)變是為了加強(qiáng)管控?！斑@一決定完全是出于安全考慮，”他說道，“即便開源，我們也能掌控產(chǎn)品，轉(zhuǎn)為閉源并不會(huì)給我們帶來太多實(shí)際收益。這純粹是為了降低安全層面的風(fēng)險(xiǎn)?！?/p>

然而，Cal 的做法還是迎來了不少開發(fā)者的質(zhì)疑?！皬拈L遠(yuǎn)來看，開源軟件的安全性最佳。”“閉源并不能提高安全性。事實(shí)上，大多數(shù)安全研究人員甚至懶得去研究源代碼，因?yàn)楦緵]必要?！痹S多開發(fā)者紛紛出來說道。

另一撥開發(fā)者則認(rèn)為，應(yīng)該利用 AI 來保障軟件安全并使其變得更好?！叭绻@些工具好到讓你擔(dān)心它們會(huì)被用來暴露你的安全漏洞，也許你應(yīng)該使用這些工具自己找出安全漏洞，然后修復(fù)它們，而不是通過隱藏來宣稱安全?！?/p>

“借助 AI 的新技術(shù)，所有開源代碼庫的檢查和修復(fù)速度將比任何閉源系統(tǒng)快 100 倍?！薄伴_源軟件并沒有因?yàn)?AI 更容易逆向工程你的代碼庫就消亡。AI 同樣可以輕易地逆向工程你的閉源系統(tǒng)。解決方案不是隱藏源代碼，而是提高透明度、發(fā)布安全公告和加強(qiáng)安全加固。”

對于這類看法，Pumfleet 的回應(yīng)是：“只是我覺得目前的 AI 還不夠穩(wěn)定。我們之前提到過，不同的 AI 掃描器會(huì)給出不同的結(jié)果。AI 很有可能完全漏掉一個(gè) bug，然后在同一個(gè) PR 里又抓到另一個(gè) bug?！?/p>

還有網(wǎng)友評價(jià)，“如果 AI 讀取你的開源代碼對你的業(yè)務(wù)造成損害，那么你很可能把開源當(dāng)作一種增長策略，而不是一種理念?，F(xiàn)在關(guān)閉開源并不能保證安全。這只會(huì)減少那些真心實(shí)意加固代碼的開發(fā)者，以及更多惡意攻擊者利用 AI 攻擊你的生產(chǎn)服務(wù)器。”

與開源版早已切割，

核心組件數(shù)月前移出重寫

盡管其商業(yè)項(xiàng)目不再開源，Cal 還是推出了 Cal.diy。這是面向愛好者推出的完全開源版平臺(tái)，目前采用寬松的 MIT 許可證。Pumfleet 稱，“Cal.diy 是 Cal.com 的核心部分，負(fù)責(zé)所有日程調(diào)度功能，只是剔除了全部企業(yè)級特性?！?/p>

具體來說，雖然 Cal.diy 保留了核心的日程安排引擎和預(yù)訂基礎(chǔ)設(shè)施，但移除了與商業(yè)產(chǎn)品相關(guān)的諸多功能，包括團(tuán)隊(duì)管理、工作流程、分析和企業(yè)身份驗(yàn)證。該開源項(xiàng)目可以在處理高敏感數(shù)據(jù)的閉源應(yīng)用之外，供開發(fā)者進(jìn)行試驗(yàn)和二次開發(fā)。

值得一提的是，支撐 Cal.com 托管平臺(tái)的代碼庫，與公開版本的代碼庫早在隨著時(shí)間推移逐漸出現(xiàn)差異，越來越多的商業(yè)及企業(yè)級功能是在開源代碼倉庫之外單獨(dú)開發(fā)的。此次，這種分離狀態(tài)算是正式明確下來了。

Cal 也表示，近幾個(gè)月來已在公開代碼庫之外重寫了核心組件，導(dǎo)致開源項(xiàng)目與實(shí)際生產(chǎn)環(huán)境使用的系統(tǒng)出現(xiàn)差異?！霸掚m如此，我們的主代碼庫如今已和開源版分道揚(yáng)鑣，因?yàn)槲覀冎貙懥苏J(rèn)證、數(shù)據(jù)處理等關(guān)鍵安全模塊。我們只是希望保留 Cal.diy，以盡可能寬松的協(xié)議免費(fèi)向社區(qū)開放并共享?！?/p>

實(shí)際上，對 Cal 來說，將核心平臺(tái)轉(zhuǎn)為閉源也引發(fā)了一個(gè)顯而易見的問題：Cal.com 創(chuàng)立的初衷，至少在初期是成為對標(biāo) Calendly 的開源替代方案，此舉是否會(huì)有疏遠(yuǎn)用戶的風(fēng)險(xiǎn)？

Pumfleet 表示，“我們內(nèi)部已和部分客戶溝通，他們都很感激我們正采取措施，盡最大努力保障其數(shù)據(jù)安全。我認(rèn)為不會(huì)有大量客戶因此流失，因?yàn)闅w根結(jié)底，客戶更關(guān)心的是數(shù)據(jù)安全，而不是軟件是否開源?！盋al.com 還確認(rèn)，作為過渡，目前使用自托管服務(wù)的客戶將獲得私有本地 GitHub 倉庫的訪問權(quán)限。

事實(shí)證明，AI 對開源項(xiàng)目和開發(fā)者而言確實(shí)是一把雙刃劍。不僅是開源代碼本身，開源商業(yè)模式也正因 AI 而發(fā)生根本性變革。關(guān)于 AI 對開源項(xiàng)目日益加深的影響，此前已有諸多討論。本就時(shí)間緊張的開源維護(hù)者們，還要應(yīng)付大量由機(jī)器生成、偽裝成貢獻(xiàn)的“AI 垃圾內(nèi)容”。

而如今，能夠系統(tǒng)性挖掘軟件漏洞的 AI 系統(tǒng)相繼出現(xiàn)，更是將這一議題推向了更嚴(yán)肅、以安全為核心的討論方向。那么，今后其他沒有足夠資源應(yīng)對大量 AI 黑客攻擊的小型企業(yè)，是否會(huì)效仿 Cal？

“我確實(shí)了解到，許多和我們背景相似的商業(yè)開源公司，都在重新評估開源模式?！盤umfleet 對此說道。

https://www.zdnet.com/article/ai-security-worries-force-company-to-abandon-open-source/

https://thenewstack.io/cal-com-codebase-security-ai/

聲明：本文為 InfoQ 翻譯整理，不代表平臺(tái)觀點(diǎn)，未經(jīng)許可禁止轉(zhuǎn)載。

會(huì)議推薦

QCon 全球軟件開發(fā)大會(huì)·2026 北京站將于 4 月 16 日 -18 日正式舉辦。本屆大會(huì)以“Agentic AI 時(shí)代的軟件工程重塑”為主題，聚焦 100+ 重磅議題，匯聚來自阿里、騰訊、字節(jié)跳動(dòng)、小米、百度等一線科技企業(yè)與創(chuàng)新團(tuán)隊(duì)的技術(shù)專家，圍繞 AI 工程化、系統(tǒng)架構(gòu)與研發(fā)模式演進(jìn)展開深入探討。更多詳情可掃碼或聯(lián)系票務(wù)經(jīng)理 18514549229 進(jìn)行咨詢。

今日薦文

你也「在看」嗎？