Cal.com переводит основной продукт в закрытый код из-за AI-угроз для open source

Cal.com, один из заметных open-source игроков в категории scheduling, переводит коммерческую версию сервиса в закрытый код. Причина не в смене бизнес-модели как таковой, а в новом балансе рисков: компания считает, что современные AI-инструменты слишком сильно упростили поиск уязвимостей в публичных репозиториях и сделали открытый код слишком дорогим с точки зрения защиты пользовательских данных.

Решение компания объявила 15 апреля 2026 года. Приватным становится production-код и дальнейшая разработка коммерческого продукта, а публичный репозиторий превращается в отдельную ветку сообщества под названием Cal.diy.

Эта версия остается self-hosted и open source, но уже на лицензии MIT вместо прежней AGPL. В ней сохраняются движок расписаний, логика бронирований, app store и API v2 — то есть все, что нужно отдельным разработчикам и небольшим командам для самостоятельного развертывания. Из Cal.

diy убирают то, что относится к управляемому коммерческому сервису и enterprise-сценариям: организации и команды, routing forms, автоматические workflows, instant booking, AI phone, SAML/SSO, аналитические панели, часть админских интерфейсов и старый API v1. По сути Cal.com разделяет продукт на две траектории: открытую платформу для хобби и self-hosting-а и закрытую production-версию, где компания берет на себя ответственность за чувствительные данные клиентов.

Внутри самой команды это описывают просто: они хотят быть компанией по расписаниям, а не компанией по кибербезопасности. Аргумент Cal.com строится вокруг того, что AI радикально меняет economics offensive security.

Раньше поиск эксплуатируемых багов требовал опытного исследователя и много ручного времени; теперь модели и агентные инструменты могут последовательно проходить по кодовой базе, трассировать потоки данных, искать нарушения бизнес-логики и быстро собирать proof of concept. В одной из публикаций на собственном блоге Cal.com приводит тесты партнера Hex Security: в 28 компаниях их автономные pentest-агенты нашли около 2000 уязвимостей, из которых 44,6% оказались критическими или high severity, а в 65,1% сканов находился хотя бы один критический баг.

Там же приводится benchmark, где доступ к исходникам повышал обнаружение уязвимостей примерно на 20% по сравнению с black-box проверкой. В качестве публичного символа новой реальности компания ссылается на пример с AI-моделью Mythos, которая, по ее версии, смогла выявить старую уязвимость в BSD и быстро построить рабочий эксплойт. При этом сама Cal.

com не утверждает, что закрытый код автоматически делает продукт безопасным. В официальном объяснении компания прямо признает, что это не идеальное решение и что security through obscurity сама по себе не спасает. Но для сервиса, который обрабатывает данные о встречах, календарях и бронированиях, даже небольшое снижение вероятности массового аудита со стороны атакующих выглядит оправданным.

Параллельно команда обещает поддерживать обратные security-патчи между закрытым продуктом и Cal.diy и говорит, что хотела бы однажды вернуться к открытому формату, если ландшафт угроз станет более управляемым. Это особенно заметный разворот, потому что Cal.

com строила бренд именно как open-source альтернатива Calendly и не скрывала, что видит в открытом коде источник роста. По словам руководства, при другой конфигурации рисков компания предпочла бы остаться в прежней модели. То есть речь не о полном разрыве с сообществом, а о попытке развести экспериментальную и коммерческую части продукта по разным контурам безопасности.

Главный вывод здесь шире судьбы одной компании. История Cal.com показывает, что AI меняет не только разработку, но и сам социальный контракт open source: прозрачность по-прежнему помогает защитникам, но теперь она так же хорошо масштабирует работу атакующих.

Для коммерческих open-source продуктов это может означать болезненный выбор между идеологией открытости и обязанностью снижать риск для клиентов. Cal.com первой делает этот выбор настолько демонстративно, и именно поэтому ее кейс важен для всей индустрии.