Cal.com 转向闭源:AI 时代的安全考量
文章摘要
Cal.com 在五年的开源运营后宣布转向闭源,官方给出的核心理由是 AI 驱动的安全威胁发生了本质变化。公司解释道:”AI 可以被指向一个开源代码库,系统性地扫描其中的漏洞。”联合创始人 Bailey Pumfleet 将开源架构比作”把金库的蓝图交给攻击者”。
安全格局的根本转变:此前利用漏洞需要熟练的黑客投入大量时间精力。而今天,AI 驱动的安全平台可以快速、大规模地识别弱点。公司援引了一个有力案例:AI “仅用几小时”就发现并生成了针对一个已有 27 年历史的 BSD 内核漏洞的可用攻击代码。这标志着攻击者相对于防御者的优势发生了历史性变化,开源的透明性从”多双眼睛发现 bug”转变为”攻击者的自动化搜索目标”。
Cal.diy:开源替代方案:Cal.com 并未完全放弃开源社区,而是以 MIT 许可证发布了 Cal.diy 版本,面向爱好者、开发者和实验者。不过,生产环境的代码库已经”对认证和数据处理等核心系统进行了重大改写”,两者在代码层面上已有实质差异——Cal.diy 更像是教学/自托管用途,而非生产级别。
未来展望:公司希望这次转型只是暂时的,表示一旦安全格局稳定下来,就会回归开源开发。但目前,保护客户数据是优先事项。这一决定在开源社区和商业 SaaS 之间引发了关于”AI 时代开源是否还可持续”的广泛讨论。
HN 评论精华
-
AI 漏洞检测下开源更有价值的反驳:一个有力反论来自 Drew Breunig 的文章——随着 Mythos 等 AI 工具能高效发现漏洞,开源反而变得更有价值。理由是:”开源库可以共享审计预算,而闭源软件必须私下独自找出所有漏洞。”这一视角挑战了 Cal.com 的核心论点。
-
真正原因受质疑:许多评论者怀疑安全理由掩盖了商业困境。一个观察是:”真实原因很可能是他们在转化付费用户方面遇到了困难。”Cal.com 的商业模式面临来自商品化的威胁(Google Workspace 现已提供调度功能),用户切换成本极低。
-
护城河问题:在没有网络效应的情况下,调度工具的防御力完全依赖客户避免迁移的摩擦。一位评论者指出:”像 Cal.com 这样的应用几个晚上用 Chrome MCP Server 就能 vibe-code 出来。”在 AI 编码时代,这类工具的技术壁垒极低。
-
开源离去的影响:多位用户宣布将迁移走:”说真的,我用 cal.com 的一个重要原因就是它开源。该迁移了。”Thunderbird 项目借机宣传其开源调度替代方案,捕获了这波用户流失。
-
更广泛的启示:讨论揭示了 SaaS 可持续性的张力——维护开源在 LLM 生成低质量贡献和安全报告的时代变得代价高昂,但闭源在 AI 时代也不能保证优势。这场辩论实际上是对”AI 时代开源商业化”这一命题的深层拷问。