Cal.com move produto principal para código fechado por ameaças de IA ao open source

Cal.com, um dos principais atores open-source na categoria de agendamento, está movimentando a versão comercial de seu serviço para código fechado. O motivo não é uma mudança no modelo de negócios em si, mas um novo equilíbrio de riscos: a empresa acredita que as ferramentas de IA modernas simplificaram demais a busca por vulnerabilidades em repositórios públicos e tornaram o código aberto muito caro do ponto de vista da proteção de dados do usuário.

A empresa anunciou a decisão em 15 de abril de 2026. O código de produção e o desenvolvimento futuro do produto comercial se tornam privados, enquanto o repositório público se transforma em um ramo de comunidade separado chamado Cal.diy.

Esta versão permanece auto-hospedada e open source, mas agora sob uma licença MIT em vez da AGPL anterior. Ela retém o mecanismo de agendamento, lógica de reserva, app store e API v2—ou seja, tudo o que desenvolvedores individuais e pequenas equipes precisam para implantação independente. Cal.

diy remove o que se relaciona ao serviço comercial gerenciado e cenários empresariais: organizações e equipes, formulários de roteamento, fluxos de trabalho automáticos, reserva instantânea, telefone IA, SAML/SSO, painéis analíticos, algumas interfaces de administração e a antiga API v1. Essencialmente, Cal.com está dividindo o produto em duas trajetórias: uma plataforma aberta para hobbistas e auto-hospedagem, e uma versão de produção fechada onde a empresa assume a responsabilidade de lidar com dados sensíveis do cliente.

Dentro da própria equipe, eles descrevem isso simplesmente: querem ser uma empresa de agendamento, não uma empresa de segurança cibernética. O argumento de Cal.com gira em torno da ideia de que a IA muda radicalmente a economia da segurança ofensiva.

Anteriormente, encontrar bugs exploráveis exigia um pesquisador experiente e muito trabalho manual; agora modelos e ferramentas de agentes podem sistematicamente percorrer uma base de código, rastrear fluxos de dados, buscar violações de lógica de negócios e montar rapidamente prova de conceito. Em uma das postagens em seu próprio blog, Cal.com cita testes do parceiro Hex Security: em 28 empresas, seus agentes de pentest autônomos encontraram aproximadamente 2.

000 vulnerabilidades, das quais 44,6% se mostraram críticas ou de alta severidade, e 65,1% dos scans descobriram pelo menos um bug crítico. O mesmo post inclui um benchmark mostrando que o acesso ao código-fonte aumentou a detecção de vulnerabilidades em aproximadamente 20% em comparação com testes de caixa preta. Como símbolo público dessa nova realidade, a empresa aponta para o exemplo do modelo de IA Mythos, que, segundo a empresa, conseguiu identificar uma vulnerabilidade antiga no BSD e construir rapidamente um exploit funcional.

Dito isto, Cal.com em si não afirma que código fechado automaticamente torna um produto seguro. Em sua explicação oficial, a empresa reconhece diretamente que esta não é uma solução perfeita e que segurança através da obscuridade não se justifica por si só.

Mas para um serviço que processa dados sobre reuniões, calendários e reservas, até uma pequena redução na probabilidade de auditoria em massa por atacantes parece justificada. Em paralelo, a equipe promete manter patches de segurança compatíveis entre o produto fechado e Cal.diy e diz que gostaria de algum dia retornar a um formato aberto se o cenário de ameaças se tornar mais gerenciável.

Esta é uma mudança particularmente notável porque Cal.com construiu sua marca precisamente como uma alternativa open-source ao Calendly e não escondeu que via no código aberto uma fonte de crescimento. De acordo com a administração, sob diferentes configurações de risco, a empresa teria preferido permanecer em seu modelo anterior.

Ou seja, isso não é sobre uma ruptura completa com a comunidade, mas uma tentativa de separar as partes experimentais e comerciais do produto em perímetros de segurança diferentes. A conclusão mais ampla vai além do destino de uma empresa. A história de Cal.

com mostra que a IA está mudando não apenas o desenvolvimento, mas também o contrato social do open source em si: a transparência ainda ajuda os defensores, mas agora ela também dimensiona bem o trabalho dos atacantes. Para produtos open-source comerciais, isso pode significar uma escolha dolorosa entre a ideologia da abertura e a obrigação de reduzir o risco para os clientes. Cal.

com é a primeira a fazer essa escolha de forma tão demonstrativa, e é precisamente por isso que seu caso importa para toda a indústria.