Cal.com macht Codebase privat: Das Security-Dilemma von Open
TL;DR: Cal.com hat seinen öffentlichen Quellcode aus Sicherheitsgründen zurückgezogen – weil KI-gestützte Angriffswerkzeuge Open-Source-Code in ein Angriffsziel verwandeln, das sich mit klassischen Mitteln nicht mehr verteidigen lässt. Das ist kein Einzelfall, sondern ein Warnsignal für die gesamte Branche.
Cal.com, bekannt als eine der prominentesten Open-Source-Alternativen im Scheduling-Bereich, hat seinen Codebase von öffentlicher Zugänglichkeit auf privat umgestellt. Der Grund: KI-gestützte Analysetools identifizieren mittlerweile tausende bisher unbekannte Zero-Day-Schwachstellen in öffentlichem Code – und können in einem signifikanten Anteil der Fälle funktionierende Exploits entwickeln. Laut Cal.com geschieht das deutlich schneller als mit traditionellen Methoden. Was einmal die Stärke von Open Source war – maximale Transparenz und viele prüfende Augen – kehrt sich damit gegen die Maintainer.
Was ist neu?
KI automatisiert und skaliert feindselige Code-Analyse in einem Ausmaß, das menschliche Reviewer strukturell überfordert. Branchenberichte wie der Black Duck OSSRA-Report (Open Source Security and Risk Analysis) dokumentieren kontinuierlich steigende Schwachstellenzahlen in Open-Source-Codebases – ein Trend, der sich mit dem Einsatz KI-gestützter Security-Scanner auf Angreiferseite verschärft. Das klassische „Many Eyes”-Prinzip – die Grundannahme, dass öffentlicher Code durch kollektive Prüfung sicherer wird – funktioniert nicht mehr, wenn auf der Gegenseite KI-Bots im Dauerbetrieb nach Lücken suchen. Cal.com hat daraus die Konsequenz gezogen und die Transparenz geopfert, um die Angriffsfläche zu reduzieren.
Was bedeutet das für Teams und Tech Leads?
Für CTOs und Engineering-Verantwortliche ist dieser Schritt ein handfestes Strategie-Signal: Die Entscheidung, auf Open-Source-Software zu setzen, kann nicht mehr ausschließlich mit dem Sicherheitsversprechen der Community begründet werden. Wer Open-Source-Komponenten produktiv einsetzt, braucht heute aktive, KI-gestützte Überprüfungsmechanismen – und muss damit rechnen, dass populäre OSS-Projekte ihre Offenheit künftig einschränken oder ganz aufgeben. Für Open-Source-Maintainer selbst verschärft sich die Lage zusätzlich: Sie haben weder die Ressourcen noch die Werkzeuge, um mit KI-basierten Angriffsscannern Schritt zu halten. Ob Cal.coms Entscheidung ein Ausreißer bleibt oder ein Trend einläutet, dürfte sich in den kommenden Monaten zeigen – die strukturellen Kräfte dahinter sind real.
