ИИ только что убил открытый исходный код, каким мы его знаем

Cal.com.com, известная платформа для планирования с открытым исходным кодом, нанесла сейсмический удар по сообществу разработчиков 14-15 апреля 2026 года. После пяти лет отстаивания прозрачности компания внезапно объявила о своем решении перевести свою основную производственную кодовую базу из открытого в закрытый исходный код. Этот беспрецедентный сдвиг немедленно вызвал ожесточенные дебаты о будущем программного обеспечения с открытым исходным кодом в ландшафте, где доминирует ИИ.

Генеральный директор Бейли Памфлит четко сформулировал причину: ИИ фундаментально разрушил модель безопасности открытого исходного кода. Памфлит заявил, что поддержание открытой кодовой базы теперь равносильно «раздаче чертежей банковского хранилища» «в 100 раз большему числу хакеров», риску, который компания больше не могла оправдывать для своих коммерческих корпоративных клиентов. Инструменты безопасности ИИ, утверждал он, теперь могут сканировать репозитории в масштабе, обнаруживая уязвимости в 5-10 раз быстрее в проектах с открытым исходным кодом, чем в альтернативах с закрытым исходным кодом.

Эта тревожная возможность стала ужасающе реальной 7 апреля 2026 года с публичным представлением Mythos Preview от Anthropic. Эта модель ИИ продемонстрировала беспрецедентную способность находить и использовать уязвимости нулевого дня. Mythos, в частности, обнаружил 27-летнюю ошибку отказа в обслуживании в реализации TCP SACK OpenBSD, недостаток, который человеческие эксперты упускали из виду десятилетиями. Обнаружение стоило примерно 20 000 долларов за полную кампанию по обнаружению Anthropic, при этом запуск конкретной модели стоил менее 50 долларов.

Mythos выявил тысячи ранее неизвестных уязвимостей нулевого дня в основных операционных системах и веб-браузерах. Что крайне важно, он мог воспроизводить эти уязвимости и разрабатывать рабочие эксплойты более чем в 83% случаев. Такая эффективность фундаментально изменяет расчет рисков для общедоступных кодовых баз, превращая их в основные цели для сложных, ускоренных ИИ атак.

После изменения основной продукт Cal.com.com, который обрабатывает важные корпоративные данные и критически важные коммерческие функции, стал частным. Это включает в себя такие жизненно важные компоненты, как: - Управление многопользовательскими организациями - Инфраструктура биллинга - Системы аутентификации - Логика обработки основных данных

Вместо этого Cal.com.com представила Cal.com.diy, полностью MIT-лицензированный форк своей устаревшей кодовой базы. Этот проект специально предназначен для любителей и тех, кто размещает свои данные самостоятельно, позволяя им продолжать экспериментировать и развертывать более старую, открытую версию платформы. Этот шаг ясно сигнализирует о раздвоенном будущем компании, отделяя ее корни в сообществе от ее коммерческих императивов безопасности.

Резкий поворот Cal.com.com, от видного сторонника открытого исходного кода к сущности с закрытым исходным кодом, посылает леденящее послание всей технологической индустрии. Он поднимает глубокие вопросы о долгосрочной жизнеспособности моделей с открытым исходным кодом для проектов, обрабатывающих конфиденциальные данные или работающих в корпоративном масштабе. Решение компании заставляет задуматься: действительно ли ИИ сделал открытый исходный код слишком опасным для современного коммерческого мира?

Генеральный директор Cal.com.com Бейли Памфлит сформулировал суровую новую реальность: открытый исходный код теперь равносилен раздаче чертежей банковского хранилища в эпоху ИИ. Это не просто случайная аналогия; она лежит в основе радикального сдвига компании. Выпуск основного кода в открытый доступ, утверждает Cal.com.com, вооружает «в 100 раз больше хакеров» точными знаниями, необходимыми для использования уязвимостей с беспрецедентным масштабом и скоростью.

Исследования в области безопасности напрямую подтверждают это тревожное утверждение. Исследования показывают, что программное обеспечение с открытым исходным кодом становится в 5-10 раз легче взломать, когда злоумышленники используют инструменты с поддержкой ИИ. Модель Mythos AI от Anthropic, например, наглядно продемонстрировала эту возможность, выявив тысячи ранее неизвестных уязвимостей нулевого дня в основных операционных системах и веб-браузерах. Mythos, как известно, обнаружил 27-летнюю ошибку отказа в обслуживании в реализации TCP SACK OpenBSD — недостаток, который десятилетиями ускользал от внимания человеческих экспертов, стоивший примерно 20 000 долларов за кампанию по обнаружению и менее 50 долларов за конкретный запуск модели.

Этот сдвиг парадигмы уничтожает давно устоявшуюся теорию «многих глаз», которая предполагала, что чем больше разработчиков просматривают код, тем выше безопасность. Хотя исторически это было полезно, способность ИИ к автоматизированному, враждебному анализу перегружает это преимущество. Уязвимость больше не требует кропотливого человеческого анализа; инструменты ИИ могут сканировать целые репозитории за считанные мгновения, находя недостатки гораздо быстрее, чем человеческие специалисты могут их исправить.

ИИ автоматизирует и масштабирует враждебный анализ, устраняя практические ограничения, которые когда-то защищали открытый код. Традиционный анализ безопасности требовал значительного времени, опыта и ручных усилий от злоумышленников. Инструменты ИИ устраняют эти барьеры, позволяя даже менее искушенным злоумышленникам прочесывать обширные кодовые базы в поисках уязвимых мест, разрабатывая рабочие эксплойты более чем в 83% случаев. Некогда защитное трение человеческой разведки исчезло, замененное машинной эффективностью, нацеленной на обнаружение и эксплуатацию.

Предварительная версия Mythos от Anthropic, представленная 7 апреля 2026 года, предоставляет самые убедительные доказательства разрушительного потенциала ИИ для безопасности открытого исходного кода. Эта передовая модель конкретно демонстрирует способность не только выявлять, но и эксплуатировать уязвимости нулевого дня в беспрецедентном масштабе, фундаментально изменяя ландшафт кибербезопасности. Ее появление подтверждает растущие опасения среди сопровождающих открытого исходного кода.

Mythos, как известно, обнаружил 27-летнюю уязвимость отказа в обслуживании, скрытую глубоко в реализации TCP SACK OpenBSD. Этот критический недостаток оставался незамеченным на протяжении десятилетий тщательного человеческого анализа одними из самых строгих экспертов по безопасности в отрасли. Долговечность ошибки подчеркивает ограничения даже самых преданных человеческих процессов аудита при работе со сложным, глубоко интегрированным кодом.

Это открытие наглядно демонстрирует сверхчеловеческую аналитическую мощь ИИ, значительно превосходящую человеческие возможности в аудите кода. Mythos систематически анализировал обширные кодовые базы, выявляя тысячи ранее неизвестных уязвимостей нулевого дня в основных операционных системах и веб-браузерах, демонстрируя свое широкое и мощное воздействие. Важно отметить, что он мог воспроизводить эти уязвимости и разрабатывать рабочие эксплойты более чем в 83% случаев, переходя от теоретического обнаружения к практическому вооружению.

Такое сложное обнаружение уязвимостей обладает поразительной экономической эффективностью, экспоненциально увеличивая угрозу для проектов с открытым исходным кодом. В то время как вся кампания Anthropic по обнаружению, приведшая к ошибке в OpenBSD, стоила примерно 20 000 долларов, конкретный запуск модели, ответственный за выявление этой 27-летней ошибки, обошелся менее чем в 50 долларов. Эта минимальная стоимость демократизирует высокоуровневую эксплуатацию, делая продвинутые атаки доступными для гораздо более широкого круга злоумышленников.

Это беспрецедентное сочетание аналитической глубины, скорости и доступности фундаментально переопределяет расчет безопасности для проектов с открытым исходным кодом. Оно подтверждает основную озабоченность Cal.com.com: код с открытым исходным кодом, некогда оплот прозрачности и совместной безопасности, теперь представляет собой неизбежный план для атак, управляемых ИИ, что делает его критической уязвимостью для коммерческих приложений, обрабатывающих конфиденциальные данные. Для получения дополнительной информации о решительном переходе Cal.com.com на закрытый исходный код, прочтите Cal.com.com Goes Closed Source: Why AI Security Is Forcing Our Decision | Cal.com.com - Scheduling Software for Online Bookings.

Тревожное решение Cal.com.com, хотя и специфичное для их платформы, отражает более широкую, коварную тенденцию, охватывающую экосистему открытого исходного кода. Mythos Preview лишь наглядно продемонстрировал возможности ИИ; реальный ландшафт угроз включает в себя быстро нарастающий поток уязвимостей, затрагивающий все проекты. Это не единичный инцидент, а системный вызов самой основе совместной разработки кода.

Недавний отчет OpenJS Foundation подчеркивает этот растущий кризис, документируя значительный всплеск представлений об уязвимостях, созданных с помощью ИИ. Сопровождающие проектов, уже работающие на пределе возможностей, теперь сталкиваются с беспрецедентным объемом высокосложных, сгенерированных ИИ отчетов об ошибках. Эти отчеты часто выявляют малоизвестные недостатки, перегружая человеческие возможности для своевременного анализа и исправления.

Дополнительные доказательства получены из отчета Black Duck OSSRA. Их анализ выявляет ошеломляющий рост на 107% уязвимостей на каждую кодовую базу в годовом исчислении. Эта драматическая эскалация напрямую коррелирует с широким распространением передовых сканеров безопасности на основе ИИ и инструментов для генерации эксплойтов, которые систематически нацелены на проекты с открытым исходным кодом. Прозрачность, некогда краеугольный камень безопасности открытого исходного кода, теперь предоставляет злоумышленникам четкий план действий.

Порочный круг еще больше усугубляет проблему: сами помощники по кодированию на основе ИИ способствуют этому потоку. Разработчики часто полагаются на этих помощников для шаблонного кода и рекомендаций по зависимостям. К сожалению, эти инструменты часто предлагают уязвимые или устаревшие пакеты, непреднамеренно внедряя новые слабые места в проекты с самого их начала. Это создает самовоспроизводящийся долг по безопасности.

Двойственная природа ИИ означает, что он может как обнаруживать, так и внедрять недостатки в масштабе. Хотя существуют инструменты защиты на основе ИИ, текущая траектория показывает, что злоумышленники получают значительное преимущество. Огромный объем и сложность уязвимостей, обнаруженных ИИ, истощают ресурсы сопровождающих до предела, фундаментально изменяя расчет безопасности для программного обеспечения с открытым исходным кодом. Подход «много глаз» борется против армии ботов, управляемых ИИ.

Мрачный прогноз Cal.com.com для безопасности открытого исходного кода, хотя и подчеркивает реальные угрозы, управляемые ИИ, упускает из виду критический аспект этого технологического сдвига: ИИ — это грозный двуострый меч. Те же сложные модели ИИ, способные обнаруживать уязвимости десятилетней давности, также позволяют разработчикам и командам безопасности укреплять свои кодовые базы с беспрецедентной скоростью. Эта двойственность фундаментально меняет ландшафт кибербезопасности, делая ситуацию гораздо более нюансированной, чем простой поток уязвимостей.

Сопровождающие теперь используют передовые инструменты на базе ИИ, такие как те, что концептуально схожи с «OpenClaw», упомянутым экспертами, для сканирования, выявления и устранения уязвимостей безопасности с поразительной скоростью. Вместо того чтобы просто выявлять слабые места, эти технологии обеспечивают надежный цикл быстрой итерации и непрерывного усиления кода. Защита на базе ИИ превращает обнаружение угроз из реактивной рутины в проактивный, автоматизированный процесс, значительно ускоряя реагирование на вновь обнаруженные уязвимости. Эта гибкость является мощным противодействием атакам, управляемым ИИ.

Однако решение перейти на закрытый исходный код, как это сделала Cal.com, несет свои собственные, отчетливые и потенциально серьезные риски. Без прозрачного, совместного контроля со стороны мирового сообщества разработчиков компании могут молча игнорировать критические уязвимости или просто не обнаруживать их вовсе. Присущий открытому исходному коду принцип «многих глаз», который исторически укреплял безопасность благодаря коллективному надзору и быстрому исправлению, полностью исчезает, когда кодовая база становится проприетарной.

Закрытая кодовая база устраняет публичную ответственность, создавая опасную среду, где «никто не следит» за скрытыми недостатками. Это отсутствие внешней проверки позволяет необнаруженным уязвимостям нулевого дня накапливаться, потенциально представляя большую, более коварную долгосрочную угрозу для пользователей, чем публично раскрытые, но быстро исправленные уязвимости с открытым исходным кодом. Финансовые стимулы для устранения недостатков без общественного давления также могут уменьшиться.

В конечном итоге, развивающаяся парадигма безопасности — это не бинарный выбор между открытым и закрытым исходным кодом. Вместо этого она представляет собой эскалацию гонки вооружений, динамичное соревнование между атакой на базе ИИ и столь же продвинутой защитой на базе ИИ. Будущее безопасности программного обеспечения зависит от того, какая сторона сможет внедрять инновации быстрее и эффективнее, а не просто от того, скрыты или раскрыты чертежи. Этот непрерывный технологический спринт теперь определяет новое поле битвы за цифровую безопасность и доверие.

Скептицизм немедленно встретил резкий поворот Cal.com от открытого к закрытому исходному коду. Многие наблюдатели быстро задались вопросом, была ли безопасность ИИ единственной причиной резких изменений, предполагая более глубокие стратегические мотивы для компании, работавшей с открытым исходным кодом в течение пяти лет. Этот сдвиг, произошедший после периода вклада сообщества, намекает на переоценку ее основной бизнес-модели.

Один из значительных факторов, вероятно, проистекает из присущих проблем монетизации Commercial Open Source Software (COSS). Проекты с открытым исходным кодом часто сталкиваются с тем, что конкуренты форкают их кодовую базу, создают конкурирующие продукты и подрывают долю рынка первоначального создателя. Предотвращение этой прямой конкурентной угрозы путем защиты интеллектуальной собственности Cal.com становится основной бизнес-целью для долгосрочной устойчивости и роста.

Это решение также посылает мощный маркетинговый сигнал, особенно корпоративным клиентам. В то время как сообщество открытого исходного кода отстаивает прозрачность как функцию безопасности, многие крупные организации по-прежнему приравнивают закрытую кодовую базу к большему контролю, подотчетности и «безопасности корпоративного уровня». Это восприятие имеет решающее значение для обеспечения высокодоходных контрактов, особенно при работе с конфиденциальными данными клиентов и демонстрации надежного соответствия требованиям.

Снижение юридической ответственности также, вероятно, повлияло на расчеты Cal.com. Жестко контролируя свой основной производственный код, Cal.com потенциально снижает подверженность проблемам, возникающим из-за сторонних модификаций или уязвимостей, внесенных внешними участниками. Это сложная область в лицензировании и ответственности открытого исходного кода, где закрытая модель обеспечивает более упорядоченный, централизованный контроль над исправлениями безопасности, исправлениями ошибок и правовыми рамками соответствия.

В конечном итоге, хотя ИИ, несомненно, представляет новые и быстро развивающиеся проблемы безопасности, изменение стратегии Cal.com.com, по-видимому, является многогранным бизнес-решением. Оно стратегически решает конкурентные проблемы, улучшает позиционирование на корпоративном рынке и усиливает управление рисками, наряду с заявленной угрозой ИИ. Более подробную информацию о стратегических последствиях этого значительного сдвига для более широкой экосистемы открытого исходного кода см. в Cal.com.com goes private: A security reckoning for open source - The New Stack.

Лидеры сообщества немедленно выступили против резких выводов Cal.com.com, утверждая о сохраняющейся устойчивости и неотъемлемых преимуществах открытого исходного кода в мире, управляемом ИИ. Сэм Саффрон, соучредитель Discourse, известной платформы для форумов с открытым исходным кодом, сформулировал ключевой контраргумент: прозрачность остается мощным активом безопасности. Он подчеркнул, что вместо того, чтобы быть уязвимостью, открытый код способствует совместной работе, где недостатки часто выявляются и исправляются быстрее глобальным сообществом экспертов, чем в закрытых системах, где уязвимости могут оставаться незамеченными.

Критики также указывают на фундаментальный недостаток в метафоре «чертежа» Cal.com.com для открытого исходного кода. Аналитические возможности ИИ выходят далеко за рамки простого исходного кода; сложные модели могут эффективно реконструировать и анализировать скомпилированные бинарные файлы. Это означает, что программное обеспечение с закрытым исходным кодом предлагает лишь незначительное, если вообще какое-либо, увеличение защиты от сложных атак, управляемых ИИ, фактически подрывая представление о том, что проприетарный код обеспечивает идеальный щит от автоматизированного обнаружения уязвимостей. Обфускация, обеспечиваемая компиляцией, создает лишь замедление, а не непроницаемый барьер.

Кроме того, проекты с открытым исходным кодом выигрывают от обширной распределенной сети исследователей безопасности, этических хакеров и увлеченных участников, которые активно проверяют код на наличие уязвимостей. Этот коллективный разум действует как непрерывный, бесплатный аудит, критически важный ресурс, которого по своей природе лишены закрытые проекты. Без тысяч внешних глаз проприетарное программное обеспечение может незаметно скрывать критические уязвимости в течение длительных периодов, потенциально приводя к катастрофическим утечкам, которые остаются незамеченными внутренними командами до момента эксплуатации. Эта общая бдительность часто приводит к более быстрому обнаружению и разрешению проблем.

Аргумент в пользу закрытого исходного кода как панацеи от всех проблем безопасности рушится под тяжестью исследований, включая выводы AISLE. Эти исследования подтверждают, что способность находить уязвимости с помощью ИИ не является исключительной прерогативой высокофинансируемых, крупномасштабных операций. Даже меньшие, более доступные модели ИИ могут выявлять значительные недостатки. Например, конкретный запуск модели, который выявил 27-летнюю уязвимость отказа в обслуживании в реализации TCP SACK в OpenBSD, ошибку, которая десятилетиями ускользала от внимания экспертов по безопасности, стоил менее 50 долларов. Этот невероятно низкий порог входа означает, что преимущество обнаружения уязвимостей с помощью ИИ демократизировано, что делает безопасность через сокрытие все более несостоятельной стратегией для *любой* кодовой базы, открытой или закрытой, в современном ландшафте угроз.

В то время как Cal.com.com бил тревогу по поводу разрушительного потенциала ИИ, индустрия быстро мобилизует мощное контрнаступление. Anthropic, та же компания, что стоит за мощным ИИ для поиска уязвимостей Mythos, теперь возглавляет Project Glasswing — амбициозную инициативу по использованию ИИ для глобальной кибербезопасности. Это совместное усилие напрямую оспаривает утверждение о том, что ИИ исключительно расширяет возможности злоумышленников, вместо этого позиционируя его как незаменимого защитника от возникающих угроз.

Project Glasswing объединяет мощную коалицию технологических гигантов, приверженных обеспечению безопасности критически важной программной инфраструктуры. Среди участников — такие промышленные гиганты, как: - Amazon Web Services (AWS) - Apple - Microsoft - Google - IBM - Meta Этот альянс означает беспрецедентный, единый фронт против растущей сложности кибератак, использующих ИИ.

Основная миссия проекта заключается в развертывании передового ИИ, в частности, улучшенных версий Mythos, для проактивного сканирования и укрепления самого важного программного обеспечения в мире. Вместо того чтобы ждать взломов, ИИ-агенты Glasswing прочесывают обширные кодовые базы в поисках скрытых уязвимостей, воспроизводя процесс обнаружения, который выявил 27-летнюю ошибку в OpenBSD. Эта оборонительная стратегия направлена на выявление и исправление тысяч ранее неизвестных zero-day flaws до того, как злоумышленники смогут их использовать.

Glasswing служит мощным свидетельством двойственной природы ИИ, демонстрируя его способность приносить глубокую пользу. Используя беспрецедентную аналитическую скорость и масштаб ИИ, этот консорциум эффективно строит щит на основе ИИ, превращая инструменты, когда-то вызывавшие опасения, в совершенных защитников. Эта проактивная позиция предлагает убедительный контраргумент к опасениям Cal.com.com, отстаивая быструю итерацию и укрепление кода посредством интеллектуальной автоматизации.

Ваш ежедневный рабочий процесс разработки теперь находится под постоянной, повышенной угрозой. Каждая строка кода, каждая импортированная библиотека и каждое предложение, сделанное с помощью ИИ, представляют собой потенциальный вектор для сложных, управляемых ИИ атак. Речь идет не только о крупномасштабных уязвимостях; речь идет о непосредственном, детальном влиянии на то, как инженеры создают и поддерживают программное обеспечение.

Помощники по написанию кода на основе ИИ, повышая производительность, фундаментально меняют ландшафт безопасности. Такие инструменты, как GitHub Copilot, могут генерировать фрагменты, которые, без ведома разработчика, содержат тонкие, но эксплуатируемые уязвимости. Разработчики теперь должны критически проверять не только свой собственный код, но и вывод ИИ, тщательно изучая его на предмет уязвимостей, которые могут пропустить даже опытные человеческие глаза.

На инженерные команды оказывается давление, чтобы они управляли постоянно расширяющимся графом зависимостей. Современные приложения регулярно подтягивают сотни внешних пакетов, каждый из которых является потенциальной точкой входа для обнаружения эксплойтов с помощью ИИ. Это создает подавляющий поток предупреждений о безопасности, делая приоритизацию и исправление геркулесовой задачей как для отдельных разработчиков, так и для руководителей по безопасности.

Даже официальные органы с трудом справляются. National Vulnerability Database (NVD), поддерживаемая NIST, недавно столкнулась со значительными операционными проблемами, включая существенное отставание в обработке Common Vulnerabilities and Exposures (CVEs). Это узкое место подчеркивает огромный объем вновь выявленных недостатков, демонстрируя, что даже хорошо обеспеченные ресурсами учреждения перегружены ускоряющимся темпом обнаружения уязвимостей.

Mythos, например, выявил 27-летнюю ошибку в OpenBSD, обнаружение которой стоило примерно 20 000 долларов. Последствия очевидны для разработчиков, которые теперь сталкиваются со средой, где AI может быстро обнаруживать недостатки, ускользавшие от человеческого глаза десятилетиями. Для получения дополнительной информации о масштабах этих открытий, сделанных с помощью AI, см. Mythos autonomously exploited vulnerabilities that survived 27 years of human review. Security teams need a new detection playbook | VentureBeat. Эта новая реальность требует полной переоценки гигиены безопасности и управления рисками в разработке программного обеспечения.

Эпоха неявного доверия к open source, когда одни только «многие глаза» гарантировали безопасность, завершилась. Резкий поворот Cal.com.com, переведшего свой основной продукт на closed source после пяти лет, подчеркивает фундаментальный сдвиг. Суровое предупреждение генерального директора Bailey Pumfleet — открытый код теперь является «чертежом банковского хранилища» для «в 100 раз большего числа хакеров» — отражает новую реальность, где open-source software в 5-10 раз легче взломать с помощью AI-assisted attack tools. Это глубокое изменение требует переоценки основных принципов, регулирующих совместную разработку, выходя за рамки пассивного надзора.

Будущее open source требует модели «доверяй, но проверяй с помощью AI». Организации должны выйти за рамки пассивного раскрытия своего кода и активно использовать искусственный интеллект для непрерывного, агрессивного

Почему Cal.com перешел на модель с closed-source?

Cal.com заявила, что передовые инструменты AI теперь могут сканировать open-source репозитории для поиска и использования уязвимостей в беспрецедентных масштабах, что они сочли слишком рискованным для конфиденциальных данных своих клиентов.

Что такое Mythos AI?

Mythos — это модель AI от Anthropic, разработанная для автономного поиска и использования zero-day vulnerabilities. Она получила известность благодаря обнаружению 27-летней ошибки в OpenBSD, которая десятилетиями ускользала от человеческих экспертов.

Делает ли AI open-source software устаревшим?

Дебаты продолжаются. Хотя AI ускоряет обнаружение уязвимостей для злоумышленников, он также предоставляет мощные инструменты для защитников, позволяющие быстрее исправлять недостатки. Сообщество open-source сейчас борется с тем, как адаптироваться к этой новой реальности.

Как AI влияет на безопасность closed-source?

Сторонники утверждают, что closed source ограничивает доступ злоумышленников к «чертежу» кода. Критики предупреждают, что без общественного контроля компании могут молча игнорировать уязвимости, а AI все еще может анализировать compiled binaries для поиска слабых мест.