整理｜華衛(wèi)

“開(kāi)源已死，我們從未想過(guò)自己會(huì)說(shuō)出這樣的話?！?/p>

近日，為開(kāi)發(fā)者和企業(yè)構(gòu)建日程調(diào)度基礎(chǔ)設(shè)施的開(kāi)源初創(chuàng)公司 Cal 突然宣布，正將其旗艦級(jí)開(kāi)源項(xiàng)目轉(zhuǎn)為閉源模式，原因是該公司無(wú)力應(yīng)對(duì) AI 攻擊其開(kāi)源代碼的風(fēng)險(xiǎn)。

Cal 聯(lián)合創(chuàng)始人 Peer Richelsen 表示，“開(kāi)源安全以往一直依賴人工發(fā)現(xiàn)并修復(fù)各類問(wèn)題，如今 AI 攻擊者卻在公然利用這種代碼透明性發(fā)起攻擊?！?/p>

開(kāi)源 5 年被 AI“嚇退”，

黑客多了 100 倍?

自成立之初，Cal 就宣稱旨在打造 Calendly 的開(kāi)源替代品，在 GitHub 上收獲 4 萬(wàn)多 star，并堅(jiān)持開(kāi)源建設(shè)長(zhǎng)達(dá)五年。其聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Bailey Pumfleet 曾寫(xiě)道：“Cal.com 將作為開(kāi)源項(xiàng)目運(yùn)營(yíng)，因?yàn)楝F(xiàn)有日程調(diào)度產(chǎn)品的局限性，唯有通過(guò)開(kāi)源才能解決?！?/p>

現(xiàn)在 Cal 發(fā)展十分成功，自稱是規(guī)模最大的 Next.js 項(xiàng)目，這也印證了其當(dāng)初的定位判斷。但如今，卻一夜之間因 AI 閉源了。

“開(kāi)源代碼基本上就像是把銀行金庫(kù)的設(shè)計(jì)圖紙公之于眾。而現(xiàn)在研究這份圖紙的黑客數(shù)量，已經(jīng)暴增了 100 倍?！盤(pán)umfleet 補(bǔ)充道，“了解事物的內(nèi)部運(yùn)作原理，并進(jìn)行逆向工程來(lái)找到漏洞，要容易得多。”

Cal 還援引了 Hex Security 首席執(zhí)行官 Huzaifa Ahmad 的觀點(diǎn)稱，“開(kāi)源應(yīng)用被攻擊利用的難度，比閉源應(yīng)用要低 5 至 10 倍。在 Cal 看來(lái)，這一現(xiàn)狀正引發(fā)軟件行業(yè)生態(tài)的根本性轉(zhuǎn)變。代碼開(kāi)源的企業(yè)，要么被迫承擔(dān)客戶數(shù)據(jù)泄露的風(fēng)險(xiǎn)，要么就得關(guān)閉代碼的公開(kāi)訪問(wèn)權(quán)限?！?/p>

與大多數(shù)商業(yè)開(kāi)源初創(chuàng)公司一樣，Cal 原本將源代碼公開(kāi)供人查看和修改，其一大核心賣點(diǎn)便是允許開(kāi)發(fā)者驗(yàn)證系統(tǒng)運(yùn)行邏輯、根據(jù)自身需求進(jìn)行適配，并在自有服務(wù)器上獨(dú)立部署。在此前“著佐權(quán)”協(xié)議 GNU Affero General Public License（AGPL）的授權(quán)下，Cal.com 支持這些操作，僅附帶一項(xiàng)條款：任何修改該軟件并將其作為服務(wù)運(yùn)行的主體，都必須公開(kāi)其修改內(nèi)容。

Pumfleet 表示，像 Claude Opus 這類 AI 程序能夠全面檢索代碼并查找漏洞，因此該公司正將項(xiàng)目的開(kāi)源協(xié)議從 GNU Affero 通用公共許可證（AGPL）變更為專有許可，以此保障項(xiàng)目安全。

“我們致力于保護(hù)敏感數(shù)據(jù)。我們想做一家日程調(diào)度公司，而非網(wǎng)絡(luò)安全公司。”他補(bǔ)充道，“Cal.com 處理著用戶的敏感預(yù)約數(shù)據(jù)，我們不會(huì)因?yàn)閷?duì)開(kāi)源的熱愛(ài)而拿這些數(shù)據(jù)冒這個(gè)風(fēng)險(xiǎn)。”

4 月初，Anthropic 的 Mythos 模型已證實(shí)，它可以識(shí)別和利用廣泛使用的軟件中的漏洞，甚至能夠侵入全球部分安全性最高的軟件系統(tǒng)。最典型的案例便是，Mythos 在極度注重安全的 OpenBSD 系統(tǒng)中發(fā)現(xiàn)了一處存在了 27 年的嚴(yán)重安全漏洞。作為一個(gè)以安全為中心的類 Unix 操作系統(tǒng)，OpenBSD 長(zhǎng)期以來(lái)被認(rèn)為是同類操作系統(tǒng)中最堅(jiān)固的系統(tǒng)之一。

雖然目前 Mythos 功能僅限于通過(guò) Glasswing 項(xiàng)目提供給特定合作伙伴，但其影響已經(jīng)顯現(xiàn)。對(duì)于那些基于開(kāi)代碼構(gòu)建的公司而言，透明度和安全性之間的權(quán)衡正受到重新審視。現(xiàn)在，Cal 正成為率先響應(yīng)這一轉(zhuǎn)變的公司。

不過(guò)，促使 Cal 做出這一激進(jìn)轉(zhuǎn)變的并非完全是 Mythos。Cal.com 聯(lián)合創(chuàng)始人兼董事長(zhǎng) Peer Richelsen 表示，放棄開(kāi)放式開(kāi)發(fā)的決策早已開(kāi)始醞釀。Pumfleet 解釋稱，“我們本就預(yù)見(jiàn)了這一趨勢(shì)。即便沒(méi)有 Mythos，只需讓 Claude Opus 這類上一代模型去分析開(kāi)源代碼庫(kù)，就能輕而易舉地找到漏洞。”

“但時(shí)機(jī)令人擔(dān)憂”，Richelsen 這樣說(shuō)道。

社區(qū)大吵：安全，還是另有所圖？

多年來(lái)，許多企業(yè)出于商業(yè)考量，已從開(kāi)源許可轉(zhuǎn)向半專有許可模式。此舉或許算不上明智，但它們依然這么做了。而 Cal 的做法則是全新的，是因在 AI 黑客帶來(lái)的威脅面前不堪重負(fù)，才選擇徹底關(guān)停其商業(yè)開(kāi)源項(xiàng)目。

Pumfleet 堅(jiān)稱，“做出這個(gè)完全是出于開(kāi)源帶來(lái)的安全隱患。我們依然堅(jiān)定地?zé)釔?ài)開(kāi)源，如果未來(lái)形勢(shì)發(fā)生變化，我們會(huì)重新采用開(kāi)源。只是目前，我們不能冒客戶數(shù)據(jù)泄露的風(fēng)險(xiǎn)。”

當(dāng)被問(wèn)及這類風(fēng)險(xiǎn)究竟源于代碼公開(kāi)可見(jiàn)，還是源于代碼維護(hù)方式時(shí)，Pumfleet 表示兩者都是原因，但開(kāi)源狀態(tài)顯著加大了暴露風(fēng)險(xiǎn)。他說(shuō)：“僅僅是代碼公開(kāi)這一點(diǎn)，就會(huì)讓風(fēng)險(xiǎn)急劇上升。問(wèn)題不在于只封閉代碼或者加強(qiáng)代碼安全，而在于我們兩者都同時(shí)在做了。但僅僅加強(qiáng)代碼安全并不足以降低風(fēng)險(xiǎn)。”

并且，Pumfleet 否認(rèn)這一轉(zhuǎn)變是為了加強(qiáng)管控?！斑@一決定完全是出于安全考慮，”他說(shuō)道，“即便開(kāi)源，我們也能掌控產(chǎn)品，轉(zhuǎn)為閉源并不會(huì)給我們帶來(lái)太多實(shí)際收益。這純粹是為了降低安全層面的風(fēng)險(xiǎn)。”

然而，Cal 的做法還是迎來(lái)了不少開(kāi)發(fā)者的質(zhì)疑。“從長(zhǎng)遠(yuǎn)來(lái)看，開(kāi)源軟件的安全性最佳?！薄伴]源并不能提高安全性。事實(shí)上，大多數(shù)安全研究人員甚至懶得去研究源代碼，因?yàn)楦緵](méi)必要。”許多開(kāi)發(fā)者紛紛出來(lái)說(shuō)道。

另一撥開(kāi)發(fā)者則認(rèn)為，應(yīng)該利用 AI 來(lái)保障軟件安全并使其變得更好。“如果這些工具好到讓你擔(dān)心它們會(huì)被用來(lái)暴露你的安全漏洞，也許你應(yīng)該使用這些工具自己找出安全漏洞，然后修復(fù)它們，而不是通過(guò)隱藏來(lái)宣稱安全?！?/p>

“借助 AI 的新技術(shù)，所有開(kāi)源代碼庫(kù)的檢查和修復(fù)速度將比任何閉源系統(tǒng)快 100 倍?！薄伴_(kāi)源軟件并沒(méi)有因?yàn)?AI 更容易逆向工程你的代碼庫(kù)就消亡。AI 同樣可以輕易地逆向工程你的閉源系統(tǒng)。解決方案不是隱藏源代碼，而是提高透明度、發(fā)布安全公告和加強(qiáng)安全加固。”

對(duì)于這類看法，Pumfleet 的回應(yīng)是：“只是我覺(jué)得目前的 AI 還不夠穩(wěn)定。我們之前提到過(guò)，不同的 AI 掃描器會(huì)給出不同的結(jié)果。AI 很有可能完全漏掉一個(gè) bug，然后在同一個(gè) PR 里又抓到另一個(gè) bug?！?/p>

還有網(wǎng)友評(píng)價(jià)，“如果 AI 讀取你的開(kāi)源代碼對(duì)你的業(yè)務(wù)造成損害，那么你很可能把開(kāi)源當(dāng)作一種增長(zhǎng)策略，而不是一種理念?，F(xiàn)在關(guān)閉開(kāi)源并不能保證安全。這只會(huì)減少那些真心實(shí)意加固代碼的開(kāi)發(fā)者，以及更多惡意攻擊者利用 AI 攻擊你的生產(chǎn)服務(wù)器?！?/p>

與開(kāi)源版早已切割，

核心組件數(shù)月前移出重寫(xiě)

盡管其商業(yè)項(xiàng)目不再開(kāi)源，Cal 還是推出了 Cal.diy。這是面向愛(ài)好者推出的完全開(kāi)源版平臺(tái)，目前采用寬松的 MIT 許可證。Pumfleet 稱，“Cal.diy 是 Cal.com 的核心部分，負(fù)責(zé)所有日程調(diào)度功能，只是剔除了全部企業(yè)級(jí)特性。”

具體來(lái)說(shuō)，雖然 Cal.diy 保留了核心的日程安排引擎和預(yù)訂基礎(chǔ)設(shè)施，但移除了與商業(yè)產(chǎn)品相關(guān)的諸多功能，包括團(tuán)隊(duì)管理、工作流程、分析和企業(yè)身份驗(yàn)證。該開(kāi)源項(xiàng)目可以在處理高敏感數(shù)據(jù)的閉源應(yīng)用之外，供開(kāi)發(fā)者進(jìn)行試驗(yàn)和二次開(kāi)發(fā)。

值得一提的是，支撐 Cal.com 托管平臺(tái)的代碼庫(kù)，與公開(kāi)版本的代碼庫(kù)早在隨著時(shí)間推移逐漸出現(xiàn)差異，越來(lái)越多的商業(yè)及企業(yè)級(jí)功能是在開(kāi)源代碼倉(cāng)庫(kù)之外單獨(dú)開(kāi)發(fā)的。此次，這種分離狀態(tài)算是正式明確下來(lái)了。

Cal 也表示，近幾個(gè)月來(lái)已在公開(kāi)代碼庫(kù)之外重寫(xiě)了核心組件，導(dǎo)致開(kāi)源項(xiàng)目與實(shí)際生產(chǎn)環(huán)境使用的系統(tǒng)出現(xiàn)差異?！霸掚m如此，我們的主代碼庫(kù)如今已和開(kāi)源版分道揚(yáng)鑣，因?yàn)槲覀冎貙?xiě)了認(rèn)證、數(shù)據(jù)處理等關(guān)鍵安全模塊。我們只是希望保留 Cal.diy，以盡可能寬松的協(xié)議免費(fèi)向社區(qū)開(kāi)放并共享。”

實(shí)際上，對(duì) Cal 來(lái)說(shuō)，將核心平臺(tái)轉(zhuǎn)為閉源也引發(fā)了一個(gè)顯而易見(jiàn)的問(wèn)題：Cal.com 創(chuàng)立的初衷，至少在初期是成為對(duì)標(biāo) Calendly 的開(kāi)源替代方案，此舉是否會(huì)有疏遠(yuǎn)用戶的風(fēng)險(xiǎn)？

Pumfleet 表示，“我們內(nèi)部已和部分客戶溝通，他們都很感激我們正采取措施，盡最大努力保障其數(shù)據(jù)安全。我認(rèn)為不會(huì)有大量客戶因此流失，因?yàn)闅w根結(jié)底，客戶更關(guān)心的是數(shù)據(jù)安全，而不是軟件是否開(kāi)源。”Cal.com 還確認(rèn)，作為過(guò)渡，目前使用自托管服務(wù)的客戶將獲得私有本地 GitHub 倉(cāng)庫(kù)的訪問(wèn)權(quán)限。

事實(shí)證明，AI 對(duì)開(kāi)源項(xiàng)目和開(kāi)發(fā)者而言確實(shí)是一把雙刃劍。不僅是開(kāi)源代碼本身，開(kāi)源商業(yè)模式也正因 AI 而發(fā)生根本性變革。關(guān)于 AI 對(duì)開(kāi)源項(xiàng)目日益加深的影響，此前已有諸多討論。本就時(shí)間緊張的開(kāi)源維護(hù)者們，還要應(yīng)付大量由機(jī)器生成、偽裝成貢獻(xiàn)的“AI 垃圾內(nèi)容”。

而如今，能夠系統(tǒng)性挖掘軟件漏洞的 AI 系統(tǒng)相繼出現(xiàn)，更是將這一議題推向了更嚴(yán)肅、以安全為核心的討論方向。那么，今后其他沒(méi)有足夠資源應(yīng)對(duì)大量 AI 黑客攻擊的小型企業(yè)，是否會(huì)效仿 Cal？

“我確實(shí)了解到，許多和我們背景相似的商業(yè)開(kāi)源公司，都在重新評(píng)估開(kāi)源模式?！盤(pán)umfleet 對(duì)此說(shuō)道。

https://www.zdnet.com/article/ai-security-worries-force-company-to-abandon-open-source/

https://thenewstack.io/cal-com-codebase-security-ai/

聲明：本文為 InfoQ 翻譯整理，不代表平臺(tái)觀點(diǎn)，未經(jīng)許可禁止轉(zhuǎn)載。

會(huì)議推薦

QCon 全球軟件開(kāi)發(fā)大會(huì)·2026 北京站將于 4 月 16 日 -18 日正式舉辦。本屆大會(huì)以“Agentic AI 時(shí)代的軟件工程重塑”為主題，聚焦 100+ 重磅議題，匯聚來(lái)自阿里、騰訊、字節(jié)跳動(dòng)、小米、百度等一線科技企業(yè)與創(chuàng)新團(tuán)隊(duì)的技術(shù)專家，圍繞 AI 工程化、系統(tǒng)架構(gòu)與研發(fā)模式演進(jìn)展開(kāi)深入探討。更多詳情可掃碼或聯(lián)系票務(wù)經(jīng)理 18514549229 進(jìn)行咨詢。

今日薦文

你也「在看」嗎？