Dieser Beitrag ist nicht einfach zu schreiben.
Als wir Cal.com gründeten, glaubten wir fest an Open Source. Es ist ein Kernprinzip, um das wir dieses Unternehmen aufgebaut haben, und etwas, auf das wir unglaublich stolz waren.
Heute treffen wir die sehr schwierige Entscheidung, zu Closed Source zu wechseln, und es gibt einen einfachen Grund: Sicherheit.
KI verändert alles. Sie verändert, wie wir Inhalte schreiben, Software entwickeln und den Alltag gestalten. Aber viel seltener wird darüber gesprochen, wie drastisch KI die Welt der Sicherheit verändert.
Früher erforderte das Ausnutzen einer Anwendung einen hochqualifizierten Hacker mit jahrelanger Erfahrung und einen erheblichen Zeitaufwand, um Schwachstellen zu finden und auszunutzen. Die Realität ist, dass Menschen nicht die Zeit, Aufmerksamkeit oder Geduld haben, alles zu finden.
Heute kann KI auf eine Open-Source-Codebasis angesetzt werden und diese systematisch nach Schwachstellen durchsuchen.
Open Source zu sein ist zunehmend so, als würde man Angreifern die Baupläne für den Tresor geben. Wenn die Struktur vollständig sichtbar ist, wird es viel einfacher, Schwachstellen zu identifizieren und auszunutzen.
In den letzten Monaten haben wir eine Welle von KI-Sicherheits-Startups gesehen, die diese Fähigkeit kommerzialisieren. Jede Plattform legt unterschiedliche Schwachstellen offen, was es schwierig macht, eine einzige, verlässliche Quelle der Wahrheit darüber zu etablieren, was tatsächlich sicher ist.
Diese Unsicherheit zwang uns, eine Entscheidung zu treffen: Open Source bleiben und ein zunehmendes Risiko für Kundendaten akzeptieren oder zu Closed Source wechseln, um dieses Risiko zu verringern. Es ist keine perfekte Lösung, aber wir müssen alles tun, was wir können, um unsere Nutzer zu schützen.
Gleichzeitig liegt uns Open Source weiterhin sehr am Herzen. Deshalb veröffentlichen wir eine Version unserer Codebasis für die Community unter der MIT-Lizenz als Cal.diy. Obwohl sich unsere Produktionscodebasis erheblich weiterentwickelt hat, einschließlich umfassender Überarbeitungen zentraler Systeme wie Authentifizierung und Datenverarbeitung, möchten wir sicherstellen, dass es weiterhin eine wirklich offene Version gibt, die Entwicklern, Hobbyisten und allen, die erkunden und experimentieren möchten, zur Verfügung steht.
Die Risikolandschaft verändert sich rasant. Fortschrittliche KI-Modelle sind inzwischen in der Lage, Schwachstellen in beispielloser Geschwindigkeit zu identifizieren und auszunutzen. In einem kürzlichen Beispiel deckte KI eine 27 Jahre alte Schwachstelle im BSD-Kernel auf, einem der am weitesten verbreiteten und sicherheitsorientierten Open-Source-Projekte, und erzeugte funktionierende Exploits innerhalb weniger Stunden.
Als Open Source fortzufahren, würde unsere Anwendung, unsere Kunden und die sensiblen Daten, die wir verarbeiten, erheblich gefährden. Wir unternehmen jeden möglichen Schritt, um dieses Risiko zu verringern und unsere Nutzer zu schützen, und vorerst bedeutet das, zu Closed Source zu wechseln, so schwierig diese Entscheidung auch ist.
Wir hoffen, dass wir eines Tages zu Open Source zurückkehren können, wenn sich die Sicherheitslage weiterentwickelt. Aber vorerst müssen wir unsere Kunden an erste Stelle setzen.