Cal.com объявили, что они закрывают свой исходный код и больше не будут предоставлять продукт с открытым исходным кодом. Их аргументация заключается в том, что искусственный интеллект сделал открытое ПО слишком рискованным для SaaS-компаний. Код сканируется и используется ИИ практически без затрат, а прозрачность теперь становится уязвимостью.
Спасибо, Сэм. Я ценю, что вы прямо и открыто занимаетесь этим вопросом. Я слежу за последними новостями об ИИ (насколько это возможно), и этот вопрос действительно не давал мне покоя. Продолжайте в том же духе. 
Огромное уважение! Это была одна из моих скрытых тревог в отношении Discourse уже какое-то время. Спасибо вам за то, что вы на правильной стороне и продолжаете не enshittify основной продукт. Учитывая множество причин, я не могу представить, чтобы регулирование ИИ появилось в ближайшее время, но сейчас ситуация очень мрачная.
Надеюсь, вы все понимаете, как сильно все ценят то, что не нужно самостоятельно размещать продукт, и при этом вас не просят платить за разблокировку базовых функций (как это делают многие «продукты с открытым исходным кодом»). 
Внезапное закрытие вашего исходного кода не волшебным образом устраняет все существующие проблемы безопасности в вашем коде, которые ещё не были выявлены. Но это точно помешает сообществу помочь их исправить.
Кроме того, это ещё и подлое действие по отношению ко всем, кто помогал развивать ваш продукт. Почему я должен теперь или когда-либо что-либо делать с/для cal.com после этого шага? Почему я должен что-либо делать для их любительского «форка» cal.dyi? Они просто выбросили на ветер всё доверие, которое создали.
Спасибо за статью в блоге, было интересно почитать, Сэм 
Об этом уже много пишут в интернете, но является ли угроза безопасности («наши модели слишком опасны») реальной или основной причиной задержки релиза?
Некоторые утверждают, что это скорее пиар-ход, хотя это не отменяет потенциальной мощи моделей. Один из примеров: On Anthropic's Mythos Preview and Project Glasswing - Schneier on Security
Я, конечно, ничего не понимаю во всех этих сложных темах, но я настороженно отношусь к статьям, которые мгновенно разлетаются по всем новостным сайтам и онлайн-сообществам. Предполагаю, что в утверждениях есть свои оговорки. Вероятно, где-то есть правда, а где-то информация требует уточнения или просто раздута.
У меня нет сомнений в том, что модели невероятно быстро находят и, вероятно, эксплуатируют уязвимости, и вы даже привели пример с кодом Discourse, подтверждающий это.
Что касается самой статьи, хочу отметить один момент, который показался мне странным:
Закрытый исходный код всегда был более слабой защитой для SaaS, чем люди готовы признать. Веб-приложение — это не то, что разово выпускают и прячут. Значительная его часть доставляется напрямую в браузер пользователя с каждым запросом: JavaScript, контракты API, клиентские сценарии, логика валидации и поведение функций. Злоумышленники уже могут проанализировать всё это, а ИИ делает такой анализ значительно дешевле. Закрытие репозитория может скрыть некоторые детали серверной реализации, но это не делает систему невидимой. В основном это лишь сокращает число защитников, способных увидеть полную картину.
Затем, чуть позже:
Закрытый исходный код может обеспечить определённую неясность, но неясность хрупка. Исходный код утекает, бинарные файлы реверс-инжинирятся, API картографируются, а злоумышленники узнают многое, просто опрашивая работающую систему. Настоящая защита — не в том, чтобы вечно скрывать код. Она в создании программного обеспечения и операционных практик, которые выдерживают scrutiny, когда оно наступает.
Прочитав второй абзац, я почувствовал, что уже читал это раньше.
Я прокрутил страницу вверх и заметил, что два абзаца очень, очень похожи. В обоих говорится одно и то же, но другими словами.
Я понимаю необходимость подытоживать, но в данном случае у меня действительно возникло ощущение, что я уже прочитал практически то же самое несколькими абзацами ранее.
Это действительно вдохновляющее чтение, Сэм. Мне приятно работать в Discourse.
[лихорадочно ищу, что сказать, чтобы не показаться подхалимом…]
Может, даже сейчас поработаю. 
Это чтение действительно тронуло меня. Строка о выборе мужества вместо того, чтобы прятаться за запертой дверью, невероятно сильна. Спасибо вам за то, что вы уже 13 лет поддерживаете открытое программное обеспечение и напоминаете нам, в чём его суть. Эти слова останутся со мной навсегда.
Отличное заявление!
https://releases.discourse.org тоже работает и теперь выглядит так здорово 
О, это очень вкусно! И очень ясно и полезно, отличная работа!
Если Open Source мёртв, то почему они всё ещё его используют? Почему они не перешли с PostgreSQL на Oracle DB? Почему команда не перешла с Linux на MS Windows и т. д.?
Всё их приложение, middleware и даже значительная часть инфраструктуры построены на Open Source.
Это отличное объявление и тема.
Я понимаю риск того, что ИИ может ускорить появление эксплойтов нулевого дня.
Нисколько не преуменьшая затраченных усилий, интересно, не рассмотрит ли Discourse возможность внедрения относительных конвейеров CI/CD в реальном времени для обновлений?
Возможно, это уже происходит на сайтах Meta и управляемых Discourse, но я конкретно имею в виду самохостинг, где флаг функции мог бы включать обновления по мере их выпуска или с задержкой в качестве автоматизированного процесса.
Или, возможно, это реализуется как функция автоматических обновлений безопасности, которую можно включить независимо от других обновлений.
В любом случае, позвольте мне продолжить выражать свою благодарность и признательность за программное обеспечение Discourse и людей, стоящих за ним. Спасибо!
Есть веские причины, почему это не лучшая идея в данном случае:
Точно! И это означает, что они наследуют уязвимости этого промежуточного ПО, которые раскрываются публично, независимо от того, что они пытаются скрыть.
Всё это — большая комедия. Каждый студент знает, что безопасность через неясность не работает.
Discourse показывает, что можно оставаться с открытым исходным кодом, строить устойчивый бизнес в модели SaaS и одновременно успевать за развитием ландшафта уязвимостей, вместо того чтобы пытаться от него скрыться.
Так приятно видеть, что Discourse не только остаётся с открытым исходным кодом (в чём я никогда не сомневался), но и решил занять твёрдую позицию в этом вопросе. 
Я не против их решения — оно их, но вся эта попытка манипуляции общественным мнением крайне раздражает.
Один из уроков, которые я усвоил благодаря генерации кода с помощью ИИ и поиску уязвимостей, заключается в том, что мы всё ещё боремся с теми же вредными, но популярными идеями, которые руководители придерживаются с древних времён. В данном случае речь идёт о доводе «безопасность через неясность» против открытого исходного кода.