Introduction
Fondée en 2022 et longtemps portée par une forte culture open source (licence AGPL), Cal s’est positionnée comme l’un des plus grands projets Next.js. Mais face à l’émergence d’outils d’IA capables de parcourir rapidement de larges bases de code et d’y détecter des vulnérabilités exploitables, l’équipe dirigeante a pris la décision lourde de sens de fermer la version commerciale open source du produit et d’adopter un modèle propriétaire pour la partie qui gère des données sensibles.
Pourquoi ce choix ?
Selon les dirigeants de Cal, les modèles d’IA (citons Claude Opus et plus récemment le modèle Mythos d’Anthropic) peuvent automatiquement « scanner » du code public et mettre en lumière des vecteurs d’attaque qu’un attaquant humain mettrait beaucoup plus de temps à trouver. Les cofondateurs expliquent que la transparence inhérente à l’open source devient, dans ce contexte, un « plan » que des attaquants automatisés exploitent à grande échelle — l’équivalent de donner le plan d’un coffre‑fort à des milliers d’assaillants potentiels.
Ce que Cal fait concrètement
- La version commerciale de la plateforme passe d’une licence AGPL à une licence propriétaire afin de protéger les composants manipulant des données de réservation sensibles.
- Cal publie néanmoins cal.diy, une version entièrement open source destinée aux hobbyistes et à l’expérimentation hors du périmètre des données à risque.
- Les dirigeants indiquent qu’ils aimeraient revenir à l’open source si la situation change, mais que pour l’instant la protection des utilisateurs prime.
Contexte et signaux d’alerte
- Des modèles d’IA ont déjà démontré la capacité à trouver des failles dans des logiciels réputés pour leur sécurité (par exemple, un trou découvert par Mythos dans OpenBSD).
- Des experts en sécurité estiment que les applications open source peuvent être plusieurs fois plus faciles à exploiter par rapport à leurs homologues fermés, du fait de la visibilité complète du code.
- Au‑delà de Cal, la décision pose la question d’un éventuel mouvement plus large de projets commerciaux à code ouvert qui choisiraient de restreindre l’accès public à des composants sensibles.
Implications pour l’écosystème open source
- Risque d’érosion de la confiance : si des entreprises ferment des parties critiques de leurs projets, cela peut fragiliser l’écosystème (contributions, adoption, interopérabilité).
- Pression sur les petites équipes : la charge de corriger rapidement des vulnérabilités détectées massivement par l’IA peut dépasser les moyens de projets modestes.
- Reconfiguration des modèles économiques : on pourrait voir émerger des modèles hybrides (open core, parties fermées pour le traitement des données sensibles, offres « hobby » ouvertes).
Bonnes pratiques recommandées pour les projets et entreprises
- Segmenter le code : garder ouvert ce qui favorise l’adoption et la confiance, mais protéger les composants critiques qui traitent des données sensibles.
- Renforcer la sécurité proactive : audits réguliers, fuzzing, tests de pénétration automatisés et manuels, programmes de bug bounty.
- Surveillance et réponse rapide : équipes et processus pour patcher et déployer des correctifs rapidement.
- Chiffrement et protection des données : limiter l’impact en cas de faille exploitable.
- Communication transparente : expliquer clairement aux utilisateurs les raisons et la portée des changements de licence pour préserver la confiance.
Conclusion
La décision de Cal illustre un dilemme nouveau : la philosophie open source rencontre la réalité des capacités croissantes des IA capables d’automatiser l’identification de vulnérabilités. Les entreprises vont devoir réévaluer leurs stratégies de licence, d’architecture et de sécurité pour concilier innovation collaborative et protection des utilisateurs. Reste à voir si ce cas restera isolé ou amorcera un mouvement plus large dans l’écosystème.
Que pensez‑vous de ce choix ? Faut‑il refuser l’ouverture complète du code pour protéger les données utilisateurs, ou existe‑t‑il d’autres solutions ? Laissez votre avis en commentaire.
Source : ZDNet — « Like handing out the blueprint to a bank vault’: why AI led one company to abandon open source » — https://www.zdnet.com/article/ai-security-worries-force-company-to-abandon-open-source/
