Cal.com ha anunciado que están cerrando su base de código y ya no será un producto de código abierto. Su razonamiento es que la IA ha hecho que el código abierto sea demasiado peligroso para las empresas SaaS. El código se escanea y explota por la IA a un costo casi nulo, y la transparencia se está convirtiendo ahora en exposición.
Gracias, Sam. Agradezco que hayas abordado esto de frente. He estado siguiendo las noticias recientes sobre IA (lo mejor que he podido) y esta pregunta sin duda ha estado en el fondo de mi mente. Sigue con el gran trabajo. 
Mucho respeto aquí. Esto era algo que me preocupaba en el fondo de mi mente desde hace un tiempo con Discourse. Gracias a todos por estar del lado correcto de esto y seguir sin enshittificar el producto principal. No puedo imaginar que obtendremos regulación de IA por un tiempo más por muchas razones, pero las cosas están muy sombrías en este momento.
Espero que todos sepan cuánto apreciamos no tener que autoalojar el producto y que aún así nos supliquen para pagar dinero y desbloquear funciones básicas (como hacen muchos productos de “código abierto”). 
Cerrar repentinamente tu código fuente no soluciona mágicamente todos los problemas de seguridad existentes en tu código que aún no han sido identificados. Pero, sin duda, impedirá que la comunidad ayude a solucionarlos.
Además de eso, es un gesto grosero hacia todos los que ayudaron a hacer crecer tu producto. ¿Por qué iba a hacer algo ahora, o en el futuro, con o para cal.com después de esta acción? ¿Por qué haría algo por su “fork” para aficionados cal.dyi? Simplemente han tirado a la basura toda la confianza que habían generado.
Gracias por el artículo del blog, fue una lectura interesante, Sam 
Esto ha estado por toda internet, pero ¿es la amenaza de seguridad (“nuestros modelos son demasiado peligrosos”) la razón real o principal para no lanzarlos?
Algunas personas afirman que se inclina más hacia un truco de relaciones públicas, aunque sin eliminar por completo el potencial de los modelos. Un ejemplo: On Anthropic's Mythos Preview and Project Glasswing - Schneier on Security
Ciertamente no sé nada sobre todos esos temas complejos, pero soy cauteloso cuando leo artículos que se difunden con rapidez en todos los sitios de noticias y comunidades en línea. Supongo que hay ciertas salvedades en lo que se afirma. Que probablemente haya algo de verdad y otra información que necesita aclaración, o que está sobrevalorada.
No tengo ninguna duda de que los modelos son increíblemente rápidos para encontrar y probablemente explotar vulnerabilidades, y tú mismo lo destacaste con el ejemplo de código de Discourse.
Sobre el artículo en sí, solo señalar algo que me pareció extraño al leerlo:
El código cerrado siempre ha sido una defensa más débil para el SaaS de lo que la gente quiere admitir. Una aplicación web no es algo que se lanza una vez y se mantiene oculto. Grandes partes de ella se entregan directamente al navegador del usuario en cada solicitud: JavaScript, contratos de API, flujos del lado del cliente, lógica de validación y comportamiento de las funciones. Los atacantes ya pueden inspeccionar todo eso, y la IA hace que esa inspección sea drásticamente más barata. Cerrar el repositorio puede ocultar algunos detalles de implementación del lado del servidor, pero no hace que el sistema sea invisible. Lo que principalmente hace es reducir cuántos defensores pueden inspeccionar el panorama completo.
Luego, más adelante:
El código cerrado puede comprar cierta oscuridad, pero la oscuridad es frágil. El código se filtra, los binarios se desensamblan, las APIs se mapean y los atacantes aprenden mucho simplemente interrogando al sistema en ejecución. La verdadera defensa no es mantener el código oculto para siempre. Se trata de construir software y prácticas operativas que resistan cuando llegue el escrutinio.
Al leer el segundo párrafo, tuve la sensación de que ya lo había leído.
Subí con el scroll y noté que los dos párrafos son muy, muy similares. Ambos dicen lo mismo, pero con una redacción diferente.
Entiendo la necesidad de resumir, pero en este caso, realmente tuve la sensación de haber leído básicamente lo mismo unos párrafos antes.
Esto fue realmente una lectura inspiradora, Sam. Me llena de orgullo trabajar en Discourse.
[pensando frenéticamente en algo que decir para no parecer un adulador…]
Incluso podría hacer algo de trabajo ahora. 
Leer esto realmente me conmovió. La frase sobre elegir el coraje en lugar de esconderse detrás de una puerta cerrada es muy poderosa. Gracias por apoyar el código abierto durante 13 años y por recordarnos de qué se trata todo esto. Estas palabras se quedarán conmigo.
¡Gran declaración!
https://releases.discourse.org también funciona y ahora se ve genial 
¡Qué rico! Y muy claro y muy útil, ¡buen trabajo!
Si el código abierto está muerto, ¿por qué siguen utilizándolo? ¿Por qué no han migrado de PostgreSQL a Oracle DB? ¿Por qué no han pasado de Linux a MS Windows, etc.?
Toda su aplicación, el middleware e incluso grandes partes de la infraestructura están construidos sobre código abierto.
Este es un gran anuncio y tema.
Entiendo el riesgo de que la IA acelere los exploits de día cero.
Sin subestimar en absoluto el esfuerzo, me pregunto si Discourse consideraría algún tipo de pipelines de CI/CD en tiempo real relativo para las actualizaciones.
Tal vez esto ya ocurre en los sitios gestionados por Meta y Discourse; estoy pensando específicamente en los autoalojados, donde una bandera de características podría habilitar las actualizaciones a medida que se lanzan, o con un retraso como un proceso automatizado.
O quizás se manifieste como una función de actualización de seguridad automatizada que se pueda habilitar independientemente de otras actualizaciones.
En cualquier caso, permítanme continuar ofreciendo mis agradecimientos y aprecio por el software Discourse y las personas detrás de él. ¡Gracias!
Hay buenas razones por las que esto no es una buena idea aquí:
¡Exacto! Y eso significa que heredan las vulnerabilidades de ese middleware, las cuales se divulgan públicamente, independientemente de lo que decidan ocultar.
Todo esto es una gran farsa. Cualquier estudiante universitario sabe que la seguridad por oscuridad no funciona.
Discourse demuestra que es posible mantenerse en el modelo de código abierto, construir un negocio sostenible de SaaS y mantenerse al día en el panorama de las vulnerabilidades, en lugar de intentar esconderse de él.