Cal.com transfère son produit principal en code fermé en raison des menaces de l'IA pour l'open source

Cal.com, l'un des acteurs open-source les plus remarquables de la catégorie de planification, transfère la version commerciale de son service vers du code fermé. La raison n'est pas un changement de modèle économique en soi, mais un nouveau bilan des risques : l'entreprise estime que les outils d'IA modernes ont trop simplifié la recherche de vulnérabilités dans les dépôts publics et rendu le code ouvert trop coûteux du point de vue de la protection des données utilisateur.

L'entreprise a annoncé cette décision le 15 avril 2026. Le code de production et le développement futur du produit commercial deviennent privés, tandis que le dépôt public se transforme en une branche communautaire distincte appelée Cal.diy.

Cette version reste auto-hébergée et open source, mais désormais sous licence MIT au lieu de l'AGPL précédente. Elle conserve le moteur de planification, la logique de réservation, l'app store et l'API v2—c'est-à-dire tout ce dont ont besoin les développeurs individuels et les petites équipes pour un déploiement indépendant. Cal.

diy supprime ce qui relève du service commercial géré et des scénarios d'entreprise : organisations et équipes, formulaires de routage, workflows automatiques, réservation instantanée, téléphone IA, SAML/SSO, tableaux de bord analytiques, certaines interfaces administrateur et l'ancienne API v1. Essentiellement, Cal.com divise le produit en deux trajectoires : une plateforme ouverte pour les amateurs et l'auto-hébergement, et une version de production fermée où l'entreprise assume la responsabilité de traiter les données sensibles des clients.

Au sein même de l'équipe, ils le décrivent simplement : ils veulent être une entreprise de planification, pas une entreprise de cybersécurité. L'argument de Cal.com s'articule autour de l'idée que l'IA change radicalement l'économie de la sécurité offensive.

Auparavant, trouver des bugs exploitables nécessitait un chercheur expérimenté et beaucoup de travail manuel ; maintenant, les modèles et les outils d'agents peuvent systématiquement parcourir une base de code, tracer les flux de données, rechercher les violations de la logique métier et assembler rapidement une preuve de concept. Dans l'une de ses publications sur son propre blog, Cal.com cite des tests du partenaire Hex Security : dans 28 entreprises, leurs agents de test de pénétration autonomes ont trouvé environ 2 000 vulnérabilités, dont 44,6% se sont avérées critiques ou de gravité élevée, et 65,1% des scans ont découvert au moins un bug critique.

Le même article inclut un benchmark montrant que l'accès au code source a augmenté la détection des vulnérabilités d'environ 20% par rapport aux tests en boîte noire. Comme symbole public de cette nouvelle réalité, l'entreprise pointe l'exemple du modèle d'IA Mythos, qui, selon l'entreprise, a pu identifier une ancienne vulnérabilité dans BSD et construire rapidement un exploit fonctionnel. Cela dit, Cal.

com elle-même ne prétend pas que le code fermé rend automatiquement un produit sécurisé. Dans son explication officielle, l'entreprise reconnaît directement que ce n'est pas une solution parfaite et que la sécurité par l'obscurité n'est pas suffisante en elle-même. Mais pour un service qui traite des données sur les réunions, les calendriers et les réservations, même une légère réduction de la probabilité d'audit massif par les attaquants semble justifiée.

En parallèle, l'équipe s'engage à maintenir les patches de sécurité rétroactifs entre le produit fermé et Cal.diy et dit qu'elle aimerait un jour revenir à un format ouvert si le paysage des menaces devient plus gérable. C'est un virage particulièrement notable car Cal.

com a construit sa marque précisément comme une alternative open-source à Calendly et n'a pas caché qu'elle voyait dans le code ouvert une source de croissance. Selon la direction, dans d'autres configurations de risques, l'entreprise aurait préféré rester dans son modèle précédent. C'est-à-dire que ce n'est pas une rupture complète avec la communauté, mais une tentative de séparer les parties expérimentales et commerciales du produit en différents périmètres de sécurité.

La conclusion plus large dépasse le destin d'une seule entreprise. L'histoire de Cal.com montre que l'IA change non seulement le développement, mais aussi le contrat social du open source lui-même : la transparence aide toujours les défenseurs, mais elle met désormais aussi bien à l'échelle le travail des attaquants.

Pour les produits open-source commerciaux, cela peut signifier un choix douloureux entre l'idéologie d'ouverture et l'obligation de réduire les risques pour les clients. Cal.com est la première à faire ce choix de manière si démonstrative, et c'est précisément pour cela que son cas importe pour toute l'industrie.