Войти Подписаться
Ключевые хабы
LLM ИИ для разработчиков OpenAI AI-агенты Нейросети Продуктивность RAG
Open Source

Discourse остаётся open source: почему команда спорит с Cal.com об ИИ-безопасности

Discourse open source остаётся открытым: Cal.com закрывает рабочий код из-за ИИ-поиска уязвимостей, а Discourse отвечает ставкой на процесс защиты.

Discourse open source: обложка официального поста о том, что компания не закрывает исходный код

Коротко: 14 апреля 2026 года Cal.com объявила, что закрывает рабочий код коммерческого сервиса из-за ускорившегося ИИ-поиска уязвимостей. 17 апреля Discourse ответила противоположной позицией: проект остаётся open source и считает, что открытость помогает защите, если вокруг кода выстроен взрослый процесс безопасности.

В центре истории не романтика открытого кода, а практический вопрос для SaaS-команд: кто быстрее воспользуется ИИ-сканерами — атакующие или защитники.

Что произошло

Cal.com написала, что после пяти лет открытой разработки переводит коммерческий продукт в закрытый режим. Главный аргумент компании — безопасность пользовательских данных: ИИ-инструменты теперь могут быстро анализировать открытые кодовые базы, искать слабые места и снижать цену атаки.

Официальная обложка Cal.com о переходе к закрытому коду
Cal.com объясняет переход к закрытому коду ростом ИИ-угроз. Источник: Cal.com

Компания не закрыла всё полностью. Вместо прежнего публичного репозитория она оставила Cal.diy — открытую версию для самостоятельного развёртывания под MIT-лицензией. По техническому разбору Cal.com, в Cal.diy остаются ядро планировщика, магазин приложений, потоки бронирования и API v2. Из открытой версии убрали коммерческие и корпоративные функции: команды и организации, routing forms, workflows, AI Phone, SAML/SSO, аналитику, API v1, аудит бронирований и админское impersonation.

Что ответила Discourse

Discourse опубликовала ответ в тот же новостной цикл. Автор поста Сэм Саффрон пишет, что репозиторий Discourse был открыт с первых коммитов и остаётся под GPLv2. Позиция жёсткая: закрытие репозитория может спрятать часть серверной реализации, но не делает веб-сервис невидимым.

Для SaaS-команд это существенная поправка. Даже закрытый продукт отдаёт в браузер JavaScript, видимые пользовательские потоки, контракты API и поведение интерфейса. ИИ может изучать не только исходники, но и работающую систему. Если код закрыт, атакующие всё равно анализируют продукт снаружи, а полный доступ к коду остаётся только у внутренней команды. По версии Discourse, так проект получает меньше внешней защиты, хотя продукт всё равно остаётся наблюдаемым снаружи.

Почему аргумент Cal.com нельзя списать

В тезисе Cal.com есть рациональная часть. ИИ действительно делает поиск уязвимостей дешевле и быстрее. Это меняет экономику безопасности: раньше редкая команда могла постоянно читать весь код как атакующий, теперь такую работу частично берут на себя автоматические инструменты.

Но закрытие исходников решает только часть задачи. Оно не заменяет регулярное сканирование, быстрый выпуск исправлений, ответственное раскрытие уязвимостей, аудит зависимостей, ограничение прав сервисов и защиту API. Если этих процессов нет, закрытый репозиторий легко превращается в ширму: снаружи продукт выглядит менее прозрачным, но реальные ошибки всё равно остаются.

Что делать SaaS-командам

Практический вывод: открытость или закрытость кода не освобождает от инженерной дисциплины.

  • Если продукт открыт, сканируйте его так, как это сделал бы атакующий: регулярно, по контроллерам, API и пользовательским сценариям, с проверкой найденных багов тестами.
  • Если продукт закрыт, не рассчитывайте на скрытность. Веб-интерфейс, клиентский код и публичные API всё равно дают достаточно материала для анализа.
  • Держите понятный процесс раскрытия уязвимостей: куда писать, что происходит после отчёта, как быстро выходит патч.
  • Сокращайте ущерб от отдельной ошибки: минимальные права, изоляция сервисов, лимиты, журналирование, контроль зависимостей.
Иллюстрация Cal.com о технических изменениях при переносе кода в Cal.diy
Cal.com выделила открытую версию Cal.diy и перенесла рабочий код коммерческого сервиса в приватный репозиторий. Источник: Cal.com

Почему это важно для open source

Discourse отвечает не только Cal.com, но и растущему страху перед ИИ-инструментами в безопасности. Если ИИ ускоряет поиск уязвимостей, открытые проекты получают двойной эффект: атакующим проще искать баги, но защитникам тоже проще проверять код, воспроизводить проблемы и отправлять исправления.

Мы уже разбирали похожий контекст на Toolarium: как открытые модели в кибербезопасности меняют баланс между атакой и защитой, почему ядру Linux понадобились правила для ИИ-кода в open source, и чем опасны риски supply chain в open-source цепочке. Случай Cal.com и Discourse ложится в тот же ряд: ИИ не убивает открытость автоматически, но заставляет поддерживать её дороже и серьёзнее.

Итог

По состоянию на 17 апреля 2026 года Discourse open source остаётся прямым редакционным фокусом этой истории: компания публично выбирает открытый код и быстрый защитный цикл. Cal.com делает другой выбор и оставляет открытую ветку Cal.diy для самостоятельного развёртывания.

Для читателя важен не лозунг «открыто» или «закрыто», а зрелость процесса. ИИ ускоряет поиск уязвимостей с обеих сторон. Побеждает не тот, кто громче объявил модель лицензирования, а тот, кто быстрее находит, проверяет и исправляет реальные баги.

Похожие статьи

Telegram-канал @toolarium