Cal, azienda nata nel 2022 con una forte impostazione open source, ha annunciato un cambio di rotta significativo: il suo programma principale non sarà più distribuito sotto licenza libera, ma passerà a un modello proprietario. Una decisione motivata da crescenti preoccupazioni legate all’uso dell’intelligenza artificiale per individuare vulnerabilità nei codici pubblici.
La minaccia dell’AI e la fine di una fiducia storica
Secondo il CEO e co-fondatore Bailey Pumfleet, strumenti di nuova generazione come i modelli AI avanzati sono ormai in grado di analizzare interi repository open source e individuare falle di sicurezza con una velocità senza precedenti.
L’azienda sostiene che il paradigma tradizionale, basato sulla revisione umana collettiva del codice, non sia più sufficiente.
Peer Richelsen, co-fondatore di Cal, ha sintetizzato il problema in modo diretto: la sicurezza dell’open source si è sempre basata sulla capacità delle persone di scoprire e correggere i bug, ma oggi gli “attaccanti AI” sfruttano proprio quella trasparenza.
“Come distribuire il progetto di una cassaforte bancaria”
La posizione dell’azienda è netta e volutamente provocatoria. Pumfleet ha paragonato il rilascio di codice open source a “consegnare il progetto di una cassaforte bancaria”, sottolineando come oggi esista un numero molto più elevato di potenziali attaccanti grazie all’AI.
L’idea centrale è che la disponibilità pubblica del codice, che in passato era un punto di forza per la sicurezza collaborativa, si sia trasformata in un potenziale rischio sistemico.
Dal modello AGPL al software proprietario
Il cambiamento riguarda in particolare il passaggio dalla licenza GNU Affero General Public License (AGPL) a un modello proprietario per il programma commerciale principale di Cal. L’obiettivo dichiarato non è strategico o commerciale in senso tradizionale, ma legato alla protezione dei dati degli utenti.
L’azienda gestisce infatti informazioni sensibili legate alle prenotazioni e ha ribadito di non voler trasformarsi in una realtà focalizzata sulla cybersecurity.
La scelta viene quindi presentata come una misura difensiva, necessaria per ridurre il rischio di exploit automatizzati su larga scala.
AI e vulnerabilità: il caso Mythos e il ruolo dei nuovi modelli
A rafforzare la decisione di Cal contribuisce anche l’evoluzione dei modelli di intelligenza artificiale. L’azienda cita il caso di Mythos, sviluppato da Anthropic, che ad aprile ha dimostrato la capacità di individuare falle anche in sistemi considerati altamente sicuri, come OpenBSD.
Tuttavia, secondo Cal, il punto di svolta non è stato un singolo modello. Già strumenti come Claude Opus sarebbero in grado di analizzare codice open source e scoprire vulnerabilità in modo sistematico. L’accessibilità di questi strumenti ha reso il rischio più diffuso e meno controllabile.
Cal.diy: una versione open per gli esperimenti
Nonostante il cambiamento del modello principale, Cal non abbandona completamente l’open source. L’azienda ha infatti rilasciato Cal.diy, una versione completamente aperta del sistema, destinata però a un uso non commerciale e sperimentale.
L’obiettivo è mantenere uno spazio per sviluppatori e appassionati, separando però questo ambiente di test dai sistemi che gestiscono dati sensibili e operazioni reali. Pumfleet ha chiarito che la scelta non è definitiva: se le condizioni dovessero cambiare, il ritorno all’open source resterebbe possibile.
Nel frattempo, l’azienda riconosce che l’intelligenza artificiale sta modificando non solo il modo in cui si scrive il software, ma anche l’equilibrio economico e di sicurezza su cui si basavano i progetti open source.
Fonte: ZDNet
