Cal.com anunciou que estão fechando sua base de código e deixarão de ser um produto de código aberto. O motivo é que a IA tornou o open source muito perigoso para empresas de SaaS. O código é escaneado e explorado pela IA com custo quase zero, e a transparência está se tornando exposição.
Obrigado, Sam. Agradeço por você ter abordado isso de frente dessa forma. Tenho acompanhado as notícias recentes relacionadas à IA (na medida do possível) e essa questão certamente tem estado em minha mente. Continue com o excelente trabalho. 
Muito respeito por aqui. Isso era algo que me preocupava de forma velada há algum tempo com o Discourse. Obrigado a vocês por estarem do lado certo dessa questão e continuarem a não enshittificar o produto principal. Não consigo imaginar que teremos regulamentação de IA por um bom tempo ainda, por várias razões, mas as coisas estão muito sombrias no momento.
Espero que todos saibam o quanto todos apreciam não precisar auto-hospedar o produto e ainda serem implorados a pagar para desbloquear recursos básicos (como muitos produtos “código aberto” fazem). 
Fechar seu código-fonte de repente não resolve magicamente todos os problemas de segurança existentes no seu código que ainda não foram identificados. Mas certamente impedirá a comunidade de ajudar a corrigi-los.
Além disso, é uma atitude de canalha com todos que ajudaram a fazer seu produto crescer. Por que eu faria algo, agora ou no futuro, com ou para o cal.com após essa ação? Por que eu faria algo pela “fork” amadora deles, o cal.dyi? Eles simplesmente jogaram fora toda a confiança que construíram.
Obrigado pelo artigo do blog, foi uma leitura interessante, Sam 
Isso tem estado por toda a internet, mas a ameaça de segurança (“nossos modelos são perigosos demais”) é a razão real ou principal para não lançá-los?
Algumas pessoas afirmam que isso se inclina mais para uma manobra de relações públicas, embora não apague completamente o potencial dos modelos. Um exemplo: On Anthropic's Mythos Preview and Project Glasswing - Schneier on Security
Certamente não sei nada sobre todos esses tópicos complexos, mas fico cauteloso quando leio artigos que se espalham como um raio em todos os sites de notícias e comunidades online. Acredito que há algumas ressalvas sobre o que é afirmado. Provavelmente há algo de verdade, mas também outras informações que precisam de esclarecimento ou estão superestimadas.
Não tenho nenhuma dúvida de que os modelos são incrivelmente rápidos para encontrar e provavelmente explorar vulnerabilidades, e você até destacou isso com o exemplo de código do Discourse.
Sobre o artigo em si, apenas apontando algo que me pareceu estranho ao ler:
O código fechado sempre foi uma defesa mais fraca para SaaS do que as pessoas querem admitir. Um aplicativo web não é algo que você entrega uma vez e mantém escondido. Grande parte dele é entregue diretamente no navegador do usuário a cada solicitação: JavaScript, contratos de API, fluxos do lado do cliente, lógica de validação e comportamento dos recursos. Ataques podem inspecionar tudo isso já, e a IA torna essa inspeção drasticamente mais barata. Fechar o repositório pode esconder alguns detalhes de implementação do lado do servidor, mas não torna o sistema invisível. O que isso faz principalmente é reduzir quantos defensores podem inspecionar a imagem completa.
Depois, mais adiante:
O código fechado pode comprar um pouco de obscuridade, mas a obscuridade é frágil. O código vaza, binários são desmontados, APIs são mapeadas e os atacantes aprendem muito apenas interrogando o sistema em execução. A verdadeira defesa não é manter o código escondido para sempre. É construir software e práticas operacionais que resistam quando a análise chegar.
Ao ler o segundo parágrafo, tive a sensação de que já tinha lido aquilo.
Rolei para cima e percebi que os dois parágrafos são muito, muito semelhantes. Ambos afirmam as mesmas coisas, mas usando formulações diferentes.
Entendo a necessidade de resumir, mas, neste caso, realmente tive a sensação de que tinha lido basicamente as mesmas coisas alguns parágrafos antes.
Isso foi realmente uma leitura inspiradora, Sam. Me deixa orgulhoso de trabalhar no Discourse.
[pensando freneticamente em algo para dizer que me faça parecer menos bajulador…]
Até posso fazer um pouco de trabalho agora. 
Ler isso realmente me comoveu. A frase sobre escolher a coragem em vez de se esconder atrás de uma porta trancada é tão poderosa. Obrigado por apoiar o código aberto por 13 anos e por nos lembrar do que tudo isso se trata. Essas palavras ficarão comigo.
Ótima declaração!
https://releases.discourse.org também funciona e está com uma aparência tão boa agora 
Isso está delicioso! E muito claro e útil, ótimo trabalho!
Se o Open Source está morto, então por que ainda o estão usando? Por que não migraram do PostgreSQL para o Oracle DB? Por que a equipe não migrou do Linux para o MS Windows? Etc.
Toda a aplicação deles, o middleware e até grandes partes da infraestrutura são construídos com Open Source.
Esta é uma excelente notícia e um ótimo tópico.
Entendo o risco de a IA acelerar a exploração de vulnerabilidades zero-day.
Sem subestimar de forma alguma o esforço envolvido, me pergunto se o Discourse consideraria implementar algum tipo de pipeline de CI/CD em tempo real para atualizações?
Talvez isso já ocorra em sites gerenciados pelo Meta e pelo Discourse. Estou pensando especificamente em ambientes auto-hospedados, onde um recurso de feature flag poderia permitir atualizações assim que são lançadas, ou com um atraso, como um processo automatizado.
Ou talvez isso se manifeste como um recurso de atualização de segurança automatizada que possa ser ativado independentemente de outras atualizações.
De qualquer forma, gostaria de continuar expressando minha gratidão e apreço pelo software Discourse e pelas pessoas por trás dele. Obrigado!
Existem boas razões pelas quais essa não é uma boa ideia aqui:
Exatamente! E isso significa que eles herdam as vulnerabilidades desse middleware, as quais são divulgadas publicamente, independentemente do que escolham esconder.
Tudo isso é uma grande farsa. Todo estudante universitário sabe que segurança por obscuridade não funciona.
O Discourse mostra que é possível permanecer em Código Aberto, construir um negócio SaaS sustentável E acompanhar o cenário de vulnerabilidades, em vez de tentar se esconder dele.