“像公开银行金库图纸”：AI威胁迫使Cal.com放弃开源模式

Cal.com成立于2022年，其CEO兼联合创始人Bailey Pumfleet当时曾写道："Cal.com将是一个开源项目，因为现有日程安排产品的局限性只有通过开源才能解决。"

Cal.com凭借这一理念取得了成功，目前已跻身规模最大的Next.js项目之列。然而，Pumfleet近日表示，由于"Claude Opus等AI程序能够扫描代码以发现漏洞"，该公司正将项目授权从GNU Affero通用公共许可证（AGPL）迁移至专有许可证，以保障程序的安全性。

多年来，许多公司出于商业考量，已陆续从开源许可证迁移至半专有许可证。而Cal.com此次的举措则更为彻底，也可能令开源支持者感到不安——面对AI黑客的威胁，该公司决定全面关闭其商业开源项目。

Cal.com联合创始人Peer Richelsen表示："开源安全一直依赖于人们去发现和修复问题。而现在，AI攻击者正在利用这种透明度大做文章。"Pumfleet也补充道："开源代码基本上就像是把银行金库的图纸公之于众，而现在研究这份图纸的黑客数量增加了100倍。"

Anthropic的Mythos模型在今年4月初已证明其能够突破全球部分最安全的软件系统，最典型的案例是该模型在以安全著称的OpenBSD系统中发现了一个严重的安全漏洞。

不过，促使Cal.com做出这一重大转变的并非Mythos。Pumfleet解释道："我们早就预见到了这一趋势。即便没有Mythos，将Claude Opus等上一代模型指向一个开源代码库来寻找漏洞也已经轻而易举。"

Cal.com还引用了Hex Security首席执行官Huzaifa Ahmad的观点："开源应用程序被利用的难度比闭源应用程序低5到10倍。这导致Cal.com所处的软件经济领域正在发生根本性的转变——拥有开放代码的公司将被迫在泄露客户数据与关闭代码公开访问之间二选一。"

"我们致力于保护敏感数据，"Pumfleet说道，"我们希望专注于做一家日程安排公司，而不是一家网络安全公司。Cal.com处理着用户的敏感预约数据，我们不会因为热爱开源而将这些数据置于风险之中。"

尽管商业版本已不再开源，Cal.com仍发布了Cal.diy——这是一个面向个人爱好者的完全开源版本，允许用户在处理高价值数据的封闭应用之外进行自由探索和实验。

Pumfleet最后表示："这一决定完全是出于对开源模式所带来的安全漏洞风险的考量。我们依然真心热爱开源，如果情况发生变化，我们会重新走向开源。只是眼下，我们无法拿客户数据去冒险。"

AI的发展对开源项目和开发者而言正是一把双刃剑。那些没有足够资源来应对大量AI漏洞攻击的中小型公司，是否也会步Cal.com的后尘？值得持续关注。AI正在深刻改变的，不仅是开源代码的编写方式，更是整个开源商业模式的走向。

Q&A

Q1：Cal.com为什么要放弃开源许可证？

A：Cal.com放弃开源的核心原因是AI带来的安全威胁。像Claude Opus这样的AI程序能够快速扫描开源代码并发现安全漏洞，相当于把银行金库的图纸公开给所有人。公司联合创始人表示，开源应用程序被攻击利用的难度比闭源应用低5到10倍，为保护用户的敏感预约数据，公司决定将授权迁移至专有许可证。

Q2：Cal.com放弃开源后，普通用户还能使用开源版本吗？

A：可以。Cal.com在关闭商业开源版本的同时，专门发布了Cal.diy，这是一个面向个人爱好者的完全开源版本。用户可以通过Cal.diy进行自由探索和实验，但处理高价值敏感数据的商业版本则已转为专有授权。

Q3：Anthropic的Mythos模型能攻击哪些系统？

A：Anthropic的Mythos模型在2025年4月初展示了突破全球部分最安全软件系统的能力。最典型的案例是，该模型成功在以安全性著称的OpenBSD操作系统中发现了一个严重的安全漏洞。不过Cal.com表示，即使没有Mythos，上一代AI模型也已经能轻松扫描开源代码库并找到漏洞。