Cal.com macht Codebase privat: Das Security-Dilemma von Open

Avatar von Robin Böhm
· Published on 08.05.2026

TL;DR: Cal.com hat seinen öffentlichen Quellcode aus Sicherheitsgründen zurückgezogen – weil KI-gestützte Angriffswerkzeuge Open-Source-Code in ein Angriffsziel verwandeln, das sich mit klassischen Mitteln nicht mehr verteidigen lässt. Das ist kein Einzelfall, sondern ein Warnsignal für die gesamte Branche.

Cal.com, bekannt als eine der prominentesten Open-Source-Alternativen im Scheduling-Bereich, hat seinen Codebase von öffentlicher Zugänglichkeit auf privat umgestellt. Der Grund: KI-gestützte Analysetools identifizieren mittlerweile tausende bisher unbekannte Zero-Day-Schwachstellen in öffentlichem Code – und können in einem signifikanten Anteil der Fälle funktionierende Exploits entwickeln. Laut Cal.com geschieht das deutlich schneller als mit traditionellen Methoden. Was einmal die Stärke von Open Source war – maximale Transparenz und viele prüfende Augen – kehrt sich damit gegen die Maintainer.

Was ist neu?

KI automatisiert und skaliert feindselige Code-Analyse in einem Ausmaß, das menschliche Reviewer strukturell überfordert. Branchenberichte wie der Black Duck OSSRA-Report (Open Source Security and Risk Analysis) dokumentieren kontinuierlich steigende Schwachstellenzahlen in Open-Source-Codebases – ein Trend, der sich mit dem Einsatz KI-gestützter Security-Scanner auf Angreiferseite verschärft. Das klassische „Many Eyes”-Prinzip – die Grundannahme, dass öffentlicher Code durch kollektive Prüfung sicherer wird – funktioniert nicht mehr, wenn auf der Gegenseite KI-Bots im Dauerbetrieb nach Lücken suchen. Cal.com hat daraus die Konsequenz gezogen und die Transparenz geopfert, um die Angriffsfläche zu reduzieren.

Was bedeutet das für Teams und Tech Leads?

Für CTOs und Engineering-Verantwortliche ist dieser Schritt ein handfestes Strategie-Signal: Die Entscheidung, auf Open-Source-Software zu setzen, kann nicht mehr ausschließlich mit dem Sicherheitsversprechen der Community begründet werden. Wer Open-Source-Komponenten produktiv einsetzt, braucht heute aktive, KI-gestützte Überprüfungsmechanismen – und muss damit rechnen, dass populäre OSS-Projekte ihre Offenheit künftig einschränken oder ganz aufgeben. Für Open-Source-Maintainer selbst verschärft sich die Lage zusätzlich: Sie haben weder die Ressourcen noch die Werkzeuge, um mit KI-basierten Angriffsscannern Schritt zu halten. Ob Cal.coms Entscheidung ein Ausreißer bleibt oder ein Trend einläutet, dürfte sich in den kommenden Monaten zeigen – die strukturellen Kräfte dahinter sind real.

Avatar von Robin Böhm
Written by
Robin Böhm

Hey! Ich bin Robin Böhm – Software-Enthusiast, Berater und Autor mit Leidenschaft für JavaScript, Web und KI. Schon seit Jahren bin ich im KI-Universum unterwegs – erst an der Uni, dann immer wieder mit spannenden Prototypen im Job. Jetzt, wo KI endlich für alle zugänglich ist, brennt mein Herz dafür dieses Wissen Menschen zugänglich zu erklären! Es macht mir Spaß zu zeigen, wie man mit cleveren Agenten-Systemen den Alltag vereinfachen und langweilige Tasks automatisieren kann. Übrigens: Ich habe das erste deutsche Angular-Buch verfasst und bin Mitgründer von Angular.DE sowie Gründer von Workshops.DE. Lust auf Beratung, Coaching oder einen Workshop zu JavaScript, Angular oder KI-Integrationen? Schreib mir einfach! 😊

From knowledge to success.
Start your training now!
View Courses
"The trainers are absolute professionals and convey their enthusiasm for the topic. Our employees benefit from intensive, hands-on trainings tailored to their needs. The feedback has been outstanding."
Annika Stille, Head of Internal Training at adesso SE
Annika Stille
Head of Internal Training, adesso SE