Cal.com因AI安全风险放弃开源模式

关键信息

Cal.com将发布一个名为Cal.diy的完全开源版本供爱好者使用，而其商业产品则保持闭源以保护用户数据；公司强调这不是出于商业动机，而是为了防止敏感信息被利用。

资讯摘要

Cal.com于2022年作为开源项目成立，旨在解决现有日程安排软件的局限性，但如今因AI辅助漏洞检测的担忧决定放弃开源许可。CEO Bailey Pumfleet表示，像Claude Opus这样的AI模型现在能快速扫描并利用开源代码，相当于把银行金库的设计蓝图交给上百名黑客。尽管公司仍坚定支持开源理念，但优先考虑保护用户数据而非意识形态承诺。

作为折中方案，Cal.diy——一个完全开源的版本——将用于非商业用途。这一举动反映了开发者普遍担忧：AI正在从根本上改变开源软件的风险计算方式。

资讯正文

像把银行金库的蓝图交给盗贼：为什么AI让一家公司放弃开源

Cal公司出于安全考虑，不得不 reluctantly告别开源。这一转变并非针对Mythos模型，而是源于现代AI工具带来的风险。如果可以选择，Cal会重新拥抱开源。

2022年成立时，CEO兼联合创始人Bailey Pumfleet曾写道：“Cal.com将是一个开源项目，因为现有日程安排产品的局限性只能通过开源来解决。”

如今，随着Cal成为最大的Next.js项目之一，Pumfleet告诉我，像Claude Opus这样的AI程序可以扫描代码以发现漏洞，因此公司决定将项目从GNU Affero通用公共许可证（AGPL）转为专有许可，以保护程序的安全性。

AI黑客的威胁

多年来，许多公司出于商业原因从开源许可证转向半专有许可证。这可能并不明智，但他们还是这么做了。而Cal的做法是全新的，可能会让开源支持者感到不安——面对AI黑客的威胁，该公司彻底关闭了其商业开源项目。

“开源安全一直依赖于人们发现并修复问题，”Cal联合创始人Peer Richelsen表示，“但现在AI攻击者正在利用这种透明度。”Pumfleet补充道：“开源代码基本上就像把银行金库的蓝图交出去，而现在研究这份蓝图的黑客数量增加了100倍。”

蓝图已经存在

Anthropic的Mythos模型在4月初就证明它可以入侵一些世界上最安全的软件系统。最典型的例子就是Mythos在OpenBSD中发现了严重安全漏洞——OpenBSD以强调安全性著称。不过，促使Cal做出激进改变的并不是Mythos本身。Pumfleet解释说：“我们早就预料到这种情况。即使没有Mythos，用前一代模型如Claude Opus指向开源代码库也极其容易找到漏洞。”

Hex Security首席执行官Huzaifa Ahmad也指出：“开源应用程序比闭源程序更容易被利用，5到10倍之多。结果就是，像Cal这样的处境正带来软件经济的根本性转变：拥有开源代码的公司将被迫在客户数据风险和关闭公众对代码访问之间做出选择。”

“我们致力于保护敏感数据，”Pumfleet说，“我们想做的是日程安排公司，而不是网络安全公司。”他进一步表示：“Cal.com处理用户敏感的预订数据，我们不会为了对开源的热爱而冒险。”

Cal.diy发布

虽然其商业项目不再开源，但Cal已发布了Cal.diy，这是一个面向爱好者的完整开源版本平台。这个开放项目允许在不涉及高风险数据的封闭应用之外进行实验。

Pumfleet总结道：“这项决策完全围绕开源引入的漏洞展开。”

我们仍然非常热爱开源，如果情况发生变化，我们也会再次开源。但现在，我们不能冒险让客户数据处于风险之中。

此外：我仅用语音和鼠标就开发了两款应用——IDE 是否已经过时了？人工智能确实正在成为开源项目和程序员们的双刃剑。其他没有资源应对大量AI攻击的小公司是否会效仿Cal的做法？敬请关注。不仅开源代码正被人工智能彻底改变，开源商业模式也同样如此。

来源与参考

1. 原始链接
2. 'Like handing out the blueprint to a bank vault': Why AI led one company to abandon open source