你可能还没注意到,一个开源时代的隐喻正在裂缝。

上个月,Cal.com——那个做了开源会议调度工具的公司——突然宣布闭源了。CEO的理由很直白:AI太强了,你开源代码等于给攻击者发了一张VIP入场券。代码会被AI扫描、漏洞会被AI发现,速度比以前快几百倍。干脆关掉,至少能争取点修修补补的时间。

这事儿在开源圈炸开了锅。但有意思的是,第一个跳出来反对的,不是别人,正是Discourse。

开源vs闭源

Discourse创始人说了什么

Sam Saffron(Discourse联合创始人)在官方博客发了篇文章,标题就差直接写“你丫想啥呢”——Discourse is Not Going Closed Source

他的核心论点就一个:闭源这事儿吧,自欺欺人。

为啥?你做个Web应用,代码又不是藏在保险箱里。每次用户访问,浏览器里跑的JS、API接口、验证逻辑、前端行为——攻击者想看啥看啥。AI扫描浏览器里的东西一样能找到漏洞,干嘛非盯着服务器端那点代码?

更重要的是,Sam Saffron甩出来的实打实数据:

AI安全扫描

  • Discourse现在有22000+个社区在跑
  • 代码GPLv2开源13年,上百外部开发者贡献过安全补丁
  • 最近一次月度更新,用GPT-5.4扫出了50个安全漏洞,AI帮他们抢在攻击者前面修好了

讽刺不?AI既是威胁,也是防御。而且防御方用AI,成本可能比攻击方更低——OpenAI的全代码库扫描要价2000美元,但如果你是开源项目,每月200美元的计划就能cover,50美元都不一定用得上。

事情没这么简单

当然,Sam Saffron喷Cal.com的时候,也没完全昧着良心。他承认闭源这事儿不完全是安全考量,更多是:

  1. 竞争压力——代码开源,竞争对手分分钟抄走你的架构和产品思路
  2. 治理麻烦——开源社区会喷你、提issue、还可能fork,董事会看着闹心
  3. 投资人对接——投资人花了钱,凭啥让你免费送?

这些是实打实的商业压力,不是安全威胁能解释的。

所以Cal.com闭源这事儿,本质上是个商业决定,拿安全当遮羞布。

开源派的看法

说实话,Discourse这波回应挺提气的。但我觉得Sam Saffron可能忽略了一个点:

不是所有项目都有Discourse这个体量。

22000个社区、13年积累、社区安全意识——这不是普通开源项目能复制的护城河。一个10人团队的创业公司开源代码,面对AI扫描可能真就是裸奔。Discourse说“透明带来更大概率发现漏洞”,但发现和修复是两码事——你有人力资源跟进50个漏洞的修复吗?

不过有一点我是认同的:AI改变的是攻击速度,不是攻击本质。闭源从来就不是真正的安全,充其量是心理安慰。真正有用的,是赶紧把AI变成自己的防御武器。

至于开源未来的走向,我觉得会分化:

  • 大体量开源项目(Linux、Discourse这类):继续开源,靠社区和AI双重防御
  • 小团队开源项目:要么收紧,要么转型闭源,要么彻底放弃治疗

Cal.com开了个头,后面跟风的可能还会更多。Discourse在這個時間點站出来说话,意义不在于赢过Cal.com,而在于提醒所有人:

开源不只是代码,它是一种选择。选择相信透明的力量,还是选择恐惧下的自我封闭。

你猜AI会站在哪边?

相关资料

关于作者:开源派,关注开源技术与独立开发。