オピニオン Cal.comは商用コードベースをクローズし、AGPL-3.0のライセンスを数年にわたって採用してきたことを放棄した。これは、それを構築するのを手伝った開発者コミュニティを動揺させるとともに、より広いオープンソースの世界にも波紋を広げた。

「オープンソースは死んだ」と、Cal.comの共同創業者兼CEOであるBailey Pumfleetは語っている。 しかし、主要なオープンソース開発者たちとの会話からすると、それは違うようだ。たとえばLinuxカーネルのメンテナーであるGreg Kroah-Hartmanのような人々の話を聞いても、私はそう思う。そして、正直なところ、私もそれはないと思っている。

Punfleetがこの宣言をしたのは、同社が主要なプログラムをGNU Affero General Public License（AGPL）からプロプライエタリ（独自）ライセンスへ移行しようとしており、AIがそのプログラムのセキュリティに対して過度な脅威になり得ると考えているからだ。あるいは、私にこう語ったように、「AIの攻撃者がその“透明性”を誇示している」ので、 「オープンソースのコードは基本的に、銀行の金庫の設計図を配っているようなものだ。そして今、その設計図を研究しているハッカーは100倍も増えている」。

もしそれが既視感のある話に聞こえるなら、それは当然だ。人にコードを読ませると、自動的に脆弱になるのだ、という昔からある主張だ。90年代にはそれは真実ではなかったし、今も真実ではない。たとえば考えてみてほしい。今日の商用コードのほとんどがオープンソースだということを。むしろ、オープンソースは長年の間、プロプライエタリのコードよりもはるかに安全であることを証明してきた。 

返却形式: {"translated": "翻訳されたHTML"}

今や、AIによってセキュリティ上の穴を見つけることは、これまで以上に簡単かつ迅速になったのは事実です。とりわけ、誰もが最近不安に思っているのは、Anthropic Mythosのプレビューが、小規模なオープンソース・プロジェクトのメンテナーたちを、バグ報告の洪水で溺れさせてしまうのではないかということです。 

また、Black Duckの2026年版オープンソース・セキュリティおよびリスク分析（OSSRA）論文 のように、コードベースあたりのオープンソース脆弱性が107%増加したとするセキュリティ報告もあるのは事実です。実際、Pumfleetの主張を後押しするかたちで、Black DuckのCEOであるJason Schmittは、「ソフトウェアが作られるスピードは、ほとんどの組織がそれを確保できるスピードを上回っている」と述べています。

一方で、AIがあるからこそ、新たに発見されたセキュリティ上の穴を、見つかった時点でパッチ当てすることも期待できます。Calとしては、もちろん、その賭けに出たくないのでしょう。あるいは、彼が示唆した通り、Pumfleetは会社としてそれを負担できないと考えているのかもしれません。 

というのも、著名なテック・ストラテジストであるDrew Breunigが最近のブログ投稿で論じたように、コードのセキュリティは今や「あまりに残酷なほど単純な方程式」になったのです。すなわち、攻撃者がそれを悪用するのに費やす時間より多くのトークンを使ってエクスプロイトを見つけにいく必要がある、というわけです。

ある意味で、これはリーナスの法則の言い換えです。今日では「十分な目があれば、すべてのバグは浅い」というよりも、たぶん「十分なトークンがあれば、すべてのバグは浅い」と言い換えるべきでしょう。もちろん、その前提として、攻撃者に先んじていられるだけのトークンを確保できることが必要です。 

しかし、Djangoの共同創設者であるSimon Willisonは、「トークンを費やせばセキュリティ脆弱性のエクスプロイトを見つけられるようになった以上、オープンソースは“監査用の予算”を共有できるため、より価値が高い。一方でクローズドソースのソフトウェアは、すべてのエクスプロイトを自社の内側で見つけ出さなければならない」と主張しています。

言うまでもなく、Calの突如の方針転換をネタにしている競合志望もいます。Mozilla Thunderbirdのプロダクト＆ビジネス開発マネージャーであるRyan SipesはYCombで、「私たちのスケジューリングツールであるThunderbird Appointmentは、常にオープンソースです。私たちと話しましょう。私たちと一緒に作りましょう。Cal.comの代わりにする手助けもします。」と述べました。

とはいえ、大半として開発者コミュニティはCalの話を信じてはいません。

Redditではある人が、Calがセキュリティに対してどれほど本気だったことがあるのか疑問を呈しました。セキュリティ上の穴に関する最近のパッチをいくつか挙げた上で、彼は「これらの問題は、洗練されたハッキングの結果ではありませんでした。認証とアクセス制御における根本的な見落としが原因でした。」とコメントしました。

Slashdotにあった、皮肉たっぷりのコメントの一つには「もしツールがそれほど良いのなら、それを使ってあなたのセキュリティ上の欠陥が暴かれるのが怖いということですか……。それなら、“秘匿によるセキュリティ”を宣言するよりも、まず自分でそのツールを使ってセキュリティ上の欠陥を見つけ、そのうえで修正すべきではないでしょうか。これは、製品が収益性に到達した今、オープンソース・コミュニティから手を引きたいという欲望に対する“お化けの葉（言い訳）”です。」とありました。

• Project Glasswingとオープンソース・ソフトウェア：良い点、悪い点、醜い点
• AIのバグ報告は、一晩でゴミから本物になった、とLinuxカーネルの“首長”が語る
• AIの“お粗末”は良くなった。だからメンテナーの仕事はこれまで以上に増える
• 医療用大麻のCTOは、取引を求めて電話したらベンダーが電話を切るだろうと言う

“秘匿によるセキュリティ”を考えると、OpenClawの制作者であるPeter Steinbergerはツイートしました。「GPT 5.4-Cyberと、そのクローズドソースのリバースエンジニアリングに対する能力を見るなら、あなたに悪いニュースがあります。」。まだGPT 5.4-Cyberを見ていない場合に備えて言うと、Mythosに対するOpenAIの回答であるOpenAIは、バイナリをソースコードにリバースエンジニアリングできると主張しています。

その約束を果たせるなら、いつも通りで、根拠の薄い「秘匿によるセキュリティ」という論法に、ついに別れを告げることになります。ようやく、Windowsの中身が本当は何なのかを見られる——そしてそれは楽しくないですか！さらに言うと、セキュリティを高めるためにオープンソースをやめることが「当然のこと」ではなくなります。 

もちろん、これまでのところ、Calのライセンス再付与（relicensing）の足跡を他の企業やプロジェクトが追随した例はありません。追随するところがあるとは、私は思いません。 

ええ、AIはオープンソースのプログラミングを根本的に変えています。来年の今頃にどんなオープンソースのコーディングが行われているのか、私が理解しているふりをするつもりはありません。AIによるプログラミングの変革はあまりに幅広くて、私がせいぜい当てずっぽうであっても、推測すらできないほどです。ただ言えるのは、昔の、信用を失ったプロプライエタリ（独自）ライセンスのモデルに退却するのではなく、AIとオープンソースを一緒に使う学びを進めたほうが、私たちはより良い状態になれるということです。®

詳しくはこちら

• AI
• オープンソース
• 意見

これに似た内容