AIが、私たちが知るオープンソースを終わらせた

著名なオープンソースのスケジューリングプラットフォームであるCal.com.comは、2026年4月14日から15日にかけて、開発者コミュニティに衝撃を与えた。5年間透明性を擁護してきた同社は、中核となる本番コードベースをオープンソースからクローズドソースへ移行するという決定を突然発表した。この前例のない転換は、AIが支配する状況下でのオープンソースソフトウェアの未来について、激しい議論を即座に巻き起こした。

CEOのベイリー・パムフリートは、厳しい根拠を明確にした。AIがオープンソースのセキュリティモデルを根本的に破壊したというのだ。パムフリートは、オープンなコードベースを維持することは、もはや「銀行の金庫の設計図を」「100倍多くのハッカーに」渡すことに等しく、同社が商用エンタープライズ顧客に対して正当化できるリスクではないと述べた。彼は、AIセキュリティツールが、オープンソースプロジェクトにおいて、クローズドソースの代替案よりも5〜10倍速く脆弱性を発見できるようになったと主張した。

この警戒すべき能力は、2026年4月7日、AnthropicのMythos Previewが公開されたことで、恐ろしい現実となった。このAIモデルは、ゼロデイ脆弱性を発見し悪用する比類ない能力を示した。Mythosは特に、OpenBSDのTCP SACK実装における27年前のサービス拒否バグを発見した。これは、人間の専門家が何十年も見過ごしてきた欠陥である。この発見にかかった費用は、Anthropicの完全な発見キャンペーンでおよそ20,000ドル、特定のモデル実行は50ドル未満だった。

Mythosは、主要なオペレーティングシステムとウェブブラウザ全体で、数千ものこれまで知られていなかったゼロデイ脆弱性を特定した。決定的なことに、これらの脆弱性を再現し、83%以上のケースで機能するエクスプロイトを開発できた。このような効率性は、公開されているコードベースのリスク計算を根本的に変え、それらを高度なAI加速型攻撃の主要な標的にしている。

この変更後、高リスクのエンタープライズデータと重要な商用機能を扱うCal.com.comの主要製品は非公開となった。これには、以下のような重要なコンポーネントが含まれる。 - マルチテナント組織管理 - 請求インフラストラクチャ - 認証システム - コアデータ処理ロジック

代わりに、Cal.com.comは、レガシーコードベースの完全にMITライセンスされたフォークであるCal.com.diyを導入した。このプロジェクトは、特に趣味で利用する人やセルフホストする人向けで、プラットフォームの古いオープンバージョンを試したりデプロイしたりし続けることを可能にする。この動きは、同社のコミュニティのルーツと商業的なセキュリティ上の要件を分離し、二分された未来を明確に示している。

Cal.com.comが、著名なオープンソースの擁護者からクローズドソースの存在へと劇的に転換したことは、テクノロジー業界全体に冷ややかなメッセージを送っている。これは、機密データを扱うプロジェクトやエンタープライズ規模で運用されるプロジェクトにとって、オープンソースモデルの長期的な存続可能性について深い疑問を投げかける。同社の決定は、再考を迫るものだ。AIは本当にオープンソースを現代の商業世界にとって危険すぎるものにしたのか？

Cal.com.comのCEOベイリー・パムフリートは、厳しい新たな現実を明確にした。AI時代において、オープンソースは今や銀行の金庫の設計図を配ることに等しいというのだ。これは安易な比喩ではない。同社の根本的な転換を支えるものだ。Cal.com.comは、中核コードを公開することは、「100倍多くのハッカー」に、前例のない規模と速度で脆弱性を悪用するために必要な正確な知識を与えることになると主張している。

セキュリティ研究はこの憂慮すべき主張を直接裏付けています。研究によると、攻撃者がAI支援ツールを利用すると、オープンソースソフトウェアは5〜10倍ハッキングされやすくなります。例えば、AnthropicのMythos AIモデルは、この能力を劇的に実証し、主要なオペレーティングシステムやウェブブラウザ全体で数千ものこれまで知られていなかったゼロデイ脆弱性を特定しました。Mythosは、OpenBSDのTCP SACK実装に27年間隠されていたサービス拒否バグを発見したことで有名です。この欠陥は何十年もの間、人間の専門家に見過ごされてきましたが、発見キャンペーンには約20,000ドル、特定のモデル実行には50ドル未満の費用がかかりました。

このパラダイムシフトは、より多くの開発者がコードをレビューすることで本質的にセキュリティが向上するという長年の「多くの目」理論を打ち砕きます。歴史的に有益であったものの、AIの自動化された敵対的分析能力はこの利点を過負荷にします。脆弱性の発見に骨の折れる人間のレビューはもはや必要ありません。AIツールは瞬時にリポジトリ全体をスキャンし、人間のメンテナーがパッチを適用するよりもはるかに速く欠陥を見つけ出すことができます。

AIは敵対的分析を自動化し、規模を拡大することで、かつてオープンコードを保護していた実用的な制約を取り除きます。従来のセキュリティ分析では、攻撃者から多大な時間、専門知識、手作業が要求されました。AIツールはこれらの障壁を排除し、洗練されていない攻撃者でさえ、広大なコードベースから悪用可能な弱点を探し出し、83%以上のケースで機能するエクスプロイトを開発できるようにします。かつて保護的な役割を果たしていた人間規模の偵察の摩擦は消え去り、発見と悪用を目的とした機械駆動の効率に取って代わられました。

2026年4月7日に発表されたAnthropicのMythos Previewは、オープンソースセキュリティに対するAIの破壊的な可能性を示す最も明確な証拠です。この高度なモデルは、ゼロデイ脆弱性を特定するだけでなく、前例のない規模で悪用する能力を具体的に実証し、サイバーセキュリティの状況を根本的に変えています。その出現は、オープンソースのメンテナーの間で高まる不安を裏付けています。

Mythosは、OpenBSDのTCP SACK実装の奥深くに隠されていた27年間見過ごされてきたサービス拒否の脆弱性を発見したことで有名です。この重大な欠陥は、業界で最も厳格なセキュリティ専門家による何十年にもわたる綿密な人間によるレビューをすり抜けて、未検出のまま存在し続けていました。このバグの寿命は、複雑で深く埋め込まれたコードに直面した場合の、最も献身的な人間による監査プロセスでさえも限界があることを浮き彫りにします。

この発見は、コード監査における人間の能力をはるかに超えるAIの超人的な分析能力を明確に示しています。Mythosは広大なコードベースを体系的に分析し、主要なオペレーティングシステムやウェブブラウザ全体で数千ものこれまで知られていなかったゼロデイ脆弱性を特定し、その広範かつ強力な影響力を実証しました。重要なことに、83%以上のケースでこれらの脆弱性を再現し、機能するエクスプロイトを開発することができ、理論的な検出を超えて実用的な兵器化へと進みました。

このような洗練された脆弱性発見は、驚くべき費用対効果を伴い、オープンソースプロジェクトに対する脅威を指数関数的に増幅させます。OpenBSDのバグにつながったAnthropicの発見キャンペーン全体には約20,000ドルかかりましたが、その27年間見過ごされてきた欠陥を特定した特定のモデル実行にかかった費用は50ドル未満でした。この最小限のコストは、高度なエクスプロイトを民主化し、より広範な攻撃者が高度な攻撃にアクセスできるようにします。

この前例のないanalytiCal.comな深さ、速度、手頃な価格の組み合わせは、オープンソースプロジェクトのセキュリティCal.comculusを根本的に再定義します。これはCal.com.comの核心的な懸念を裏付けています。かつて透明性と協調的なセキュリティの砦であったオープンソースコードは、今やAI駆動型攻撃者にとって避けられない設計図となり、機密データを扱う商用アプリケーションにとってcritiCal.comな負債となっています。Cal.com.comのクローズドソースへの決定的な移行に関するさらなる洞察については、Cal.com.com Goes Closed Source: Why AI Security Is Forcing Our Decision | Cal.com.com - Scheduling Software for Online Bookingsをお読みください。

Cal.com.comの憂慮すべき決定は、彼らのプラットフォームに特有のものであるものの、オープンソースエコシステム全体を席巻している、より広範で陰湿な傾向を反映しています。Mythos PreviewはAIの能力の厳しいデモンストレーションを提供したに過ぎません。実際の脅威ランドスケープは、あらゆるプロジェクトに影響を与える急速にesCal.comatingする脆弱性の洪水を含んでいます。これは孤立した事件ではなく、協調的なコード開発のまさに基盤に対するシステム的な課題です。

OpenJS Foundationの最近のレポートは、この増大する危機を強調しており、AI支援による脆弱性提出の著しい急増を記録しています。すでに手薄なプロジェクトメンテナーは、前例のない量の高度に洗練されたAI生成のバグレポートに対処しています。これらの提出はしばしば不明瞭な欠陥を特定し、タイムリーな分析とパッチ適用に対する人間の能力を圧倒しています。

Black Duck OSSRAレポートからもさらなる証拠が浮上しています。彼らの分析によると、コードベースあたりの脆弱性が前年比で驚異的な107%増加していることが明らかになりました。この劇的なesCal.comationは、オープンソースプロジェクトをsystematiCal.comlyに標的とする高度なAIセキュリティスキャナーおよびエクスプロイト生成ツールの広範な採用と直接的に相関しています。かつてオープンソースセキュリティの要であった透明性は、今や攻撃者に明確な設計図を提供しています。

悪循環が問題をさらに悪化させています。AIコードアシスタント自体がこの洪水に貢献しているのです。開発者は、ボイラープレートコードや依存関係の推奨のためにこれらのアシスタントに頻繁に依存しています。残念ながら、これらのツールは脆弱なパッケージや古いパッケージを提案することが多く、意図せずプロジェクトの初期段階から新たな弱点を組み込んでしまいます。これにより、自己増殖するセキュリティ負債が生み出されます。

AIの二面性は、sCal.comeで欠陥を発見し、また導入することもできることを意味します。AI搭載の防御ツールは存在しますが、現在の軌跡は攻撃者が著しい優位性を獲得していることを示しています。AIによって発見された脆弱性の膨大な量と複雑さは、メンテナーのリソースを限界点を超えて圧迫し、オープンソースソフトウェアのセキュリティCal.comculusを根本的に変えています。「多くの目」のアプローチは、AI搭載ボットの軍隊に対して苦戦しています。

Cal.com.comのオープンソースセキュリティに対する悲観的な予測は、実際のAI駆動型脅威を強調しているものの、このtechnologiCal.comな変化のcritiCal.comな側面を見落としています。AIは強力な諸刃の剣です。何十年も前の脆弱性を発見できる同じ洗練されたAIモデルは、開発者やセキュリティチームが前例のない速さでコードベースを強化するためのツールも提供します。この二重性はサイバーセキュリティの状況を根本的に再構築し、状況を単純な脆弱性の洪水よりもはるかに微妙なものにしています。

メンテナーは今や、専門家が言及する「OpenClaw」と概念的に類似したものなど、高度なAI-powered toolsを活用し、驚くべき速さでセキュリティの欠陥をスキャン、特定、修復しています。単に弱点を露呈するのではなく、これらの技術は迅速な反復と継続的なコード強化の堅牢なサイクルを可能にします。AI駆動の防御は、脅威検出を受動的な作業から能動的で自動化されたプロセスへと変革し、新たに発見された脆弱性への対応を大幅に加速させます。この俊敏性は、AI駆動の攻撃に対する強力な対抗策となります。

しかし、Cal.com.comが行ったようにクローズドソースへ移行するという決定は、それ自体が明確で潜在的に深刻なリスクを伴います。グローバルな開発者コミュニティによる透明で協力的な監視がなければ、企業は重要な脆弱性を密かに無視したり、全く発見できなかったりする可能性があります。歴史的に集団的な監視と迅速なパッチ適用によってセキュリティを強化してきたオープンソースに内在する「多くの目」の原則は、コードベースがプロプライエタリになると完全に消滅します。

クローズドなコードベースは公共の説明責任を排除し、隠れた欠陥を「誰も見ていない」危険な環境を作り出します。この外部検証の欠如は、未発見のゼロデイ脆弱性が放置されることを許し、公開されても迅速にパッチが適用されるオープンソースの脆弱性よりも、ユーザーにとってより大きく、より陰湿な長期的な脅威となる可能性があります。公衆の圧力なしに欠陥に対処する金銭的インセンティブもまた減少する可能性があります。

最終的に、進化するセキュリティのパラダイムは、オープンソースかクローズドソースかという二者択一ではありません。むしろ、それはエスカレートする軍拡競争、すなわちAI駆動の攻撃と、同等に高度なAI-powered defenseとの間のダイナミックな競争を表しています。ソフトウェアセキュリティの未来は、設計図が隠されているか公開されているかだけでなく、どちらの側がより速く、より効果的に革新できるかにかかっています。この継続的な技術的スプリントが、今やデジタル安全と信頼のための新たな戦場を定義しています。

Cal.com.comがオープンソースからクローズドソースへと劇的に転換したことに対し、すぐに懐疑的な見方が示されました。多くの観測筋は、AIセキュリティだけがこの突然の変化を促したのかどうかをすぐに疑問視し、5年間オープンソースとして運営してきた企業にとって、より深い戦略的動機があることを示唆しました。コミュニティ貢献の期間を経てのこの転換は、その中核的なビジネスモデルの再評価を示唆しています。

重要な動機の一つは、Commercial Open Source Software（COSS）の収益化に内在する課題に起因している可能性が高いです。オープンソースプロジェクトは、競合他社がコードベースをフォークし、競合製品を構築し、元の作成者の市場シェアを侵食するという問題に頻繁に直面します。Cal.com.comの知的財産を保護することで、この直接的な競争上の脅威を防ぐことが、長期的な持続可能性と成長のための主要なビジネス目標となります。

この決定は、特にenterprise customersに対して強力なマーケティングシグナルも送ります。オープンソースコミュニティは透明性をセキュリティ機能として擁護しますが、多くの大企業は依然として、クローズドなコードベースをより優れた制御、説明責任、そして「enterprise-grade security」と同一視しています。この認識は、高額な契約を確保する上で、特に機密性の高い顧客データを扱い、堅牢なコンプライアンスを実証する際に不可欠です。

法的責任の軽減も、Cal.comの計算に入っていた可能性が高いです。中核となるプロダクションコードを厳密に管理することで、Cal.com.comはサードパーティの変更や外部貢献者によって導入された脆弱性から生じる問題への露出を軽減する可能性があります。これはオープンソースのライセンスと責任において複雑な領域であり、クローズドモデルでは、セキュリティパッチ、バグ修正、および法的コンプライアンスフレームワークに対するより合理化された一元的な制御が可能になります。

AIが新たな、急速に進化するセキュリティ課題をもたらすことは疑いようがないものの、Cal.com.comの方向転換は多角的なビジネス上の決定であるように見えます。これは、AIの脅威と並行して、競争上の圧力に戦略的に対処し、エンタープライズ市場でのポジショニングを強化し、リスク管理を強化するものです。この重要な変化がより広範なオープンソースエコシステムに与える戦略的影響の詳細については、Cal.com.com goes private: A security reckoning for open source - The New Stackをご覧ください。

コミュニティのリーダーたちは、Cal.com.comの厳しい結論に対し、AI主導の世界におけるオープンソースの継続的な回復力と固有の利点を主張し、直ちに反発しました。著名なオープンソースフォーラムプラットフォームであるDiscourseの共同創設者であるSam Saffron氏は、中核となる反論を明確に述べました。それは、透明性が強力なセキュリティ資産であり続けるというものです。彼は、オープンコードは負債であるどころか、脆弱性が未発見のまま放置されがちなクローズドシステムよりも、世界中の専門家コミュニティによって欠陥がより迅速に特定され、パッチが適用される共同作業環境を育むと強調しました。

批評家たちはまた、オープンソースに対するCal.com.comの「設計図」の比喩における根本的な欠陥を指摘しています。AIの分析能力は単なるソースコードをはるかに超えており、高度なモデルはコンパイルされたバイナリを効果的にリバースエンジニアリングし、分析することができます。これは、クローズドソースソフトウェアが高度なAI駆動型攻撃に対する保護をわずかにしか、あるいは全く増加させないことを意味し、プロプライエタリコードが自動化された脆弱性発見に対する完璧な盾を提供するという考えを効果的に損なっています。コンパイルによって提供される難読化は、突破不可能な障壁ではなく、一時的な障害に過ぎません。

さらに、オープンソースプロジェクトは、脆弱性を積極的に精査するセキュリティ研究者、倫理的ハッカー、そして熱心な貢献者からなる広大で分散されたネットワークの恩恵を受けています。この集合知は、継続的で無料の監査として機能し、クローズドプロジェクトには本質的に欠けている重要なリソースです。何千もの外部の目の恩恵がなければ、プロプライエタリソフトウェアは長期間にわたって重大な脆弱性を密かに抱え込み、悪用されるまで内部チームに気づかれない壊滅的な侵害につながる可能性があります。この共同の警戒は、多くの場合、より迅速な検出と解決につながります。

クローズドソースがセキュリティの万能薬であるという主張は、AISLEからの知見を含む研究の重みによってさらに崩れ去ります。これらの研究は、AIで脆弱性を発見する能力が、多額の資金を持つ大規模な運用に限られたものではないことを裏付けています。より小規模でアクセスしやすいAIモデルでさえ、重大な欠陥を特定できます。例えば、OpenBSDのTCP SACK実装における27年前のサービス拒否脆弱性（数十年間人間のセキュリティ専門家が見逃していたバグ）を特定した特定のモデル実行は、50ドル未満の費用でした。この信じられないほど低い参入障壁は、AIを活用した脆弱性発見の利点が民主化されていることを意味し、現代の脅威環境において、オープンソースかクローズドソースかを問わず、*あらゆる*コードベースにとって、曖昧さによるセキュリティがますます維持不可能な戦略になっていることを示しています。

Cal.com.comがAIの破壊的な可能性について警鐘を鳴らす中、業界は迅速に強力な反撃体制を整えています。強力な脆弱性発見AIであるMythosを開発したAnthropic社は、現在、AIをグローバルなサイバーセキュリティ防御に活用するための野心的なイニシアチブであるProject Glasswingを主導しています。この共同の取り組みは、AIが攻撃者のみを強化するという物語に直接異議を唱え、AIを新たな脅威に対する不可欠な守護者として位置づけています。

Project Glasswingは、重要なソフトウェアインフラストラクチャのセキュリティ確保に尽力するテクノロジー大手企業の強力な連合を結集しています。参加企業には、次のような業界の巨大企業が含まれます。 - Amazon Web Services (AWS) - Apple - Microsoft - Google - IBM - Meta この提携は、AIを活用したサイバー攻撃の高度化に対する前例のない統一戦線を示しています。

このプロジェクトの核となる使命は、高度なAI、特に強化されたバージョンのMythosを展開し、世界で最も重要なソフトウェアをプロアクティブにスキャンして強化することです。GlasswingのAIエージェントは、侵害を待つのではなく、広大なコードベースを巡回して潜在的な脆弱性を探し出し、OpenBSDで27年前のバグを発見したプロセスを再現します。この防御戦略は、悪意のあるアクターがそれらを悪用する前に、数千ものこれまで知られていなかったゼロデイ脆弱性を特定し、パッチを適用することを目的としています。

Glasswingは、AIの二面性を力強く証明し、その計り知れない善の可能性を示しています。AIの比類ない分析速度と規模を活用することで、このコンソーシアムは効果的にAIを活用したシールドを構築し、かつて恐れられていたツールそのものを究極の防御者に変えています。この積極的な姿勢は、Cal.com.comの懸念に対する説得力のある反論を提示し、インテリジェントな自動化による迅速な反復とコードの強化を擁護しています。

あなたの日常の開発ワークフローは、常に高まる脅威の下で運用されています。コードのすべての行、インポートされたすべてのライブラリ、そしてAIによるすべての提案は、洗練されたAIを活用した攻撃の潜在的なベクトルをもたらします。これは大規模な脆弱性だけの問題ではありません。エンジニアがソフトウェアを構築し、維持する方法に与える即時的で詳細な影響に関するものです。

AIコードアシスタントは生産性を向上させる一方で、セキュリティ環境を根本的に変えます。GitHub Copilotのようなツールは、開発者が知らないうちに、微妙ではあるが悪用可能な欠陥を含むスニペットを生成する可能性があります。開発者は、自分のコードだけでなく、AIの出力も批判的に監査し、経験豊富な人間の目でも見落とす可能性のある脆弱性を精査する必要があります。

エンジニアリングチームには、絶えず拡大する依存関係グラフを管理するというプレッシャーが高まっています。現代のアプリケーションは日常的に何百もの外部パッケージを取り込み、それぞれがAI駆動の脆弱性発見の潜在的な入り口となります。これにより、圧倒的な量のセキュリティアラートが発生し、優先順位付けとパッチ適用は、個々の開発者にとってもセキュリティリーダーにとっても困難な作業となっています。

公式機関でさえ、追いつくのに苦労しています。NISTが管理するNational Vulnerability Database (NVD)は、最近、未処理のCommon Vulnerabilities and Exposures (CVEs)の大幅なバックログを含む、重大な運用上の課題に直面しました。このボトルネックは、新たに特定された欠陥の膨大な量を示しており、十分なリソースを持つ機関でさえ、脆弱性発見の加速する速度に圧倒されていることを証明しています。

例えば、Mythosは27年前のOpenBSDのバグを発見し、その発見には約20,000ドルの費用がかかりました。これは開発者にとって厳しい現実を突きつけています。彼らは今、AIが何十年も人間の目から逃れてきた欠陥を迅速に発見できる環境に直面しています。これらのAIによる発見の規模に関する詳細については、Mythos autonomously exploited vulnerabilities that survived 27 years of human review. Security teams need a new detection playbook | VentureBeat をご覧ください。この新しい現実は、ソフトウェア開発におけるセキュリティ衛生とリスク管理の完全な再評価を要求しています。

「多くの目」だけがセキュリティを保証していたオープンソースに対する暗黙の信頼の時代は終わりました。Cal.comが5年後に中核製品をクローズドソースに移行するという劇的な転換は、根本的な変化を浮き彫りにしています。CEOのBailey Pumfleetの厳しい警告 — オープンコードは今や「100倍多くのハッカー」にとって「銀行の金庫の設計図」である — は、AI支援攻撃ツールによってオープンソースソフトウェアが5〜10倍簡単にハッキングされるという新しい現実を反映しています。この深い変化は、受動的な監視への依存から脱却し、共同開発を統治する中核的な原則の再評価を要求しています。

将来のオープンソースは、AIによる信頼と検証モデルを要求します。組織は、コードを passively に公開するだけでなく、継続的かつ積極的に人工知能を活用する必要があります。

Cal.comはなぜクローズドソースモデルに移行したのですか？

Cal.comは、高度なAIツールがオープンソースリポジトリをスキャンし、前例のない規模で脆弱性を発見・悪用できるようになったと述べました。これは顧客の機密データにとってリスクが高すぎると判断したためです。

Mythos AIとは何ですか？

Mythosは、Anthropicが開発したAIモデルで、ゼロデイ脆弱性を自律的に発見・悪用するように設計されています。何十年も人間の専門家に見過ごされてきたOpenBSDの27年前のバグを発見したことで悪名を馳せました。

AIはオープンソースソフトウェアを時代遅れにしているのでしょうか？

議論は続いています。AIは攻撃者による脆弱性発見を加速させる一方で、防御者が欠陥をより迅速に修正するための強力なツールも提供します。オープンソースコミュニティは、この新しい現実にどのように適応すべきか、現在取り組んでいます。

AIはクローズドソースのセキュリティにどのように影響しますか？

支持者は、クローズドソースが攻撃者のコード「設計図」へのアクセスを制限すると主張します。批判者は、公開の監視がなければ企業が脆弱性を密かに無視する可能性があり、AIはコンパイルされたバイナリを分析して弱点を見つけることができると警告しています。