当AI具备了系统性挖掘Bug的才略，开源便从护城河造成了软肋。Cal.com 倏得闭源，本色上是面对AI降维打击时的一次自救式筑墙。

开源五年的Cal.com，在上周画上了一个令东说念主惶恐的句点。这家曾被誉为“开源版Calendly”的日程束缚平台负责告示，其中枢分娩代码将全面迁入专有仓库，商用版块不再对外公开源代码。更令东说念主不测的是，促使这家累计融资超3000万好意思元、由Reddit妥洽首创东说念主Alexis Ohanian等明星投资东说念主背书的企业作念出这一决定的，既非融资压力，也非买卖纠纷，而是一个被反复说起却鲜有东说念主确凿面对的根由——AI。

当开源社区的回绝逻辑还在依赖“弥散多的眼睛让通盘间隙无所遁形”这一信条时，AI仍是从压根上改写了这场攻防游戏的规则。Cal.com的采用大约仅仅一家企业基于自己利益作念出的感性决策，但它在所有开源生态中投下的这枚石子，摇荡远未平息。

拆解一个“不同意”的决定

2021年，Bailey Pumfleet与Peer Richelsen共同创立Cal.com，从一运行就打出了显豁的开源旌旗。他们的定位明晰而特殊：不作念一个浅薄的SaaS预约器具，而是打造一个可供开辟者镶嵌、企业径直复用、用户彻底自托管的“预约基础步履”。这种“底层才略提供者”的情景速即在开辟者社区蕴蓄口碑，公司也速即成长为环球最大的Next.js开源神志之一，累计融资跳动3000万好意思元。

可是就在上周，这一切如丘而止。

左证Cal.com官方公告，其商用代码库将不再公开，通盘分娩环境代码、企业功能模块以及核快慰全逻辑（认证、数据处理等）通盘迁入专有仓库。与此同期，公司发布了一个名为“Cal.diy”的开源分支，收受MIT许可证向社区绽开，但明确删除了团队互助、责任流自动化、企业级认证、AI电话等一系列企业级功能。

“开源代码基本上就像把银行金库的遐想图交出去。”Pumfleet在接受ZDNET采访时直言，AI的出现让正本需要“能手花玩忽气”才气作念到的事情变得决胜千里，“目下有100倍以上的黑客在征询那份遐想图。”

可是这一“折中决策”在开源社区激发了南北极化评价。一方面，Pumfleet反复强调这是一个“重荷的决定”，“咱们从未思过会写下这么的声明”；另一方面，也有月旦者以为，Cal.com的确凿意图远不啻安全考量——有分析指出其分娩代码库与公开仓库早已“分岔”，中枢系统如认证和数据层仍是过重写，所谓的闭源仅仅将既成事实正当化。更有声息直言，Cal.diy不外是一个“被阉割的社区版”，其存在更多是为了守护开源品牌形象，而非确凿的社离别享。

AI正在重构攻防的底层逻辑

Cal.com的决策看似激进，但它背后的技艺现实正在被越来越多的事实所印证。

最具标志性的事件发生在2026年4月初。Anthropic公司告示，其最新AI模子Claude Mythos Preview在彻底自主的情况下，发现了数千个高严重性的零白昼隙，范围涵盖各大操作系统与网页浏览器。其中最令东说念主惧怕的发现之一是：OpenBSD——被公以为环球最留神安全性的操作系统之一——中荫藏了一个长达27年的云尔崩溃间隙，而该间隙在畴昔几十年里躲过了无数安全大众和自动化器具的检测。相似引东说念主注贪图是，Mythos还发现了一个存在于FFmpeg媒体处理库中长达16年的间隙，而该代码区域此前已被自动测试器具扫描了约500万次，太阳城app从未被象征为相称。

Anthropic在敷陈中指出，Mythos能够将多个孤立间隙串联成复杂的攻击链，致使在测试中“逃跑沙箱”并将间隙信息公开张贴。更令东说念主不安的是，一个莫得任何安全配景的工程师，仅用一晚时刻就哄骗该模子完成了一个完好的云尔代码实践间隙哄骗决策——而相似的任务以往需要专科渗入测试大众数天致使数周才气完成。该模子自主生成的间隙哄骗代码见效率高达181次（在数百次尝试中），而前代模子在交流测试中仅见效两次。

Cal.com的决策并非径直源于Mythos，而是看到了一个更大的趋势。Pumfleet解说说，早在Mythos发布之前，“前代模子如Claude Opus就仍是不错极其容易地被指向一个开源代码库并找露马脚”。

安全行业的量化数据正在阐述这一判断。Hex Security首席实践官Huzaifa Ahmad指出，开源应用门径被哄骗的难度比闭源低5到10倍。Cloud Security Alliance在近期发布的一份简报中指出，平均间隙哄骗时刻已降至20小时以内，而传统的补丁周期仍然建设在“东说念主类速率胁迫”的假定之上。换言之，当攻击者不错哄骗AI在数小时内完成间隙发现、分析与哄骗代码生成的全经由时，回绝方仍然以“天”致使“周”为单元进行反应——这种分歧称性正在变得不行执续。

分歧中的开源异日：闭源是至极如故起首？

Cal.com的采用激发了行业里面的强烈争论，而这场争论的中枢问题远不啻于一家企业的去留。

公开反对的声息领先来自同赛说念的Discourse。在Cal.com告示闭源后不到48小时，Discourse团队发表了一篇措辞遒劲的官方博文，标题即标明态度：“Discourse不会走向闭源”。Discourse妥洽首创东说念主承认AI仍是潜入改变了间隙发现的速率——他们的团队仍是哄骗GPT-5.3、GPT-5.4和Claude Opus 4.6在我方的开源代码库中发现了大王人潜在安全问题。但他坚称闭源不是束缚决策：“这些AI系统推行上压根不需要你的源代码就能发现间隙——它们对编译后的二进制文献和黑盒API相似灵验。一个Web应用门径中大部安分容在每次苦求时王人会被径直发送到用户浏览器——JavaScript、API条约、客户端经由、考据逻辑——攻击者本来就不错检讨通盘这些，AI仅仅让这种检讨变得愈加低价。”

Discourse的不雅点代表了开源社区中一个报复的逻辑分支：透明度是双刃剑，但它相似赋予了回绝方以攻击方交流的器具。“那些相似的AI系统不需要你的源代码就能找到间隙，它们对编译后的二进制和黑盒API相似灵验。”Linux内核珍贵者Greg Kroah-Hartman仍是在使用AI扶植的武断测试来主动识别并诞生内核中的Bug，并将其定名为“clanker”。从这个角度来看，闭源并非确凿的安全增强，而更多是一种“通过荫藏杀青安全”的陈腐战术——在AI时期，这种战术的效用大约比以往任何时候王人愈加值得怀疑。

但Cal.com妥洽首创东说念主Peer Richelsen的格调相似刚烈：“开源安全一直依赖于东说念主来发现和诞生问题，而目下AI攻击者正在浪费这种透明度。”他进一步劝诫，通盘开源应用王人面对相似风险，敏锐部分应该专有化，Cal.com的转向仅仅这一趋势的开端。

事实上，AI对开源生态的冲击远不啻安全层面。本年2月发表的一项征询敷陈走漏，AI扶植编程正在潜入改变开源经济的底层逻辑。以前端框架Tailwind CSS为例，尽管其npm下载量执续攀升，标明推行使用率极高，但其文档拜谒流量自2023岁首以来暴跌40%，相干收入缩水近80%。Stack Overflow等技艺问答平台的流量也大幅下滑。AI器具正在“偷走”本应属于开源珍贵者的肃穆力红利，将社区互动转换为阻塞的模子推理过程。致使连curl项贪图珍贵者王人敷陈称，2025年收到的安全敷陈中有20%是AI生成的特别间隙。当开源珍贵者的活命基础被AI侵蚀，Cal.com的闭源决策大约仅仅一场更大范围结构性改革的序曲。

Pumfleet在声明中留住了终末一个悬念：“咱们但愿有一天，跟着安全环境的演变，能够再行回到开源。”这一表态既像是一个理思意见的挽歌，也像是一个面向异日的邀请。在AI改写一切规则的今天，开源的安全外传正在被罪过的现实冲突。Cal.com的闭源决定大约仅仅一个起首——它确凿留给行业的，是一个无东说念主能够避让的追问：当透明度的资本仍是跳动其收益时，咱们还能在那边安放对开源精神的信仰？

参考勾通：https://cal.com/de/blog/cal-com-goes-closed-source-why太阳城app注册下载官网