Góc nhìn: AI sẽ không giết chết bảo mật mã nguồn mở

Cal.com đã đóng cửa mã nguồn thương mại của mình, từ bỏ nhiều năm sử dụng giấy phép GNU Affero General Public License (AGPL). Động thái này đã gây lo lắng cho cộng đồng lập trình viên đã giúp xây dựng nó và tạo ra những dư chấn trong thế giới mã nguồn mở rộng lớn hơn.

"Mã nguồn mở đã chết", Bailey Pumfleet, đồng sáng lập và CEO của Cal.com tuyên bố. Tuy nhiên, những cuộc trò chuyện của tôi với các nhà phát triển mã nguồn mở hàng đầu như người duy trì nhân Linux Greg Kroah-Hartman cho thấy điều này không đúng. Và thực sự, tôi cũng không nghĩ vậy.

Pumfleet đưa ra tuyên bố này vì công ty đang chuyển chương trình chính của mình từ AGPL sang giấy phép độc quyền, vì ông coi AI là một mối đe dọa quá lớn đối với bảo mật của chương trình. Hay như ông nói với tôi: "Những kẻ tấn công sử dụng AI đang coi thường sự minh bạch này", do đó "Mã nguồn mở cơ bản giống như việc phát bản thiết kế của két ngân hàng. Và bây giờ có gấp 100 lần nhiều hacker hơn đang nghiên cứu bản thiết kế đó."

Lập luận cũ kỹ về bảo mật

Nếu điều này nghe có vẻ quen thuộc, thì đúng là như vậy. Đó là một lập luận cổ xưa rằng việc để người khác đọc mã của bạn tự động làm cho nó dễ bị tổn thương hơn. Nó không đúng vào những năm 90; và bây giờ cũng không đúng. Hãy xem xét rằng gần như tất cả mã thương mại ngày nay đều là mã nguồn mở. Nếu có gì thì thì, mã nguồn mở đã được chứng minh là an toàn hơn nhiều so với mã độc quyền qua các năm.

Tuy nhiên, đúng là AI giúp tìm ra các lỗ hổng bảo mật dễ dàng và nhanh hơn bao giờ hết. Đặc biệt, hiện nay mọi người đều lo lắng rằng Anthropic Mythos Preview sẽ khiến những người duy trì các dự án mã nguồn mở nhỏ hơn bị ngập trong hàng loạt báo cáo lỗi.

Đúng là một số báo cáo bảo mật, như bài báo Phân tích Rủi ro và Bảo mật Mã nguồn Mở (OSSRA) năm 2026 của Black Duck, tuyên bố đã có sự gia tăng 107% lỗ hổng mã nguồn mở trên mỗi cơ sở mã. Thật vậy, ủng hộ cho lập luận của Pumfleet, Jason Schmitt, CEO của Black Duck, tuyên bố: "Tốc độ tạo ra phần mềm hiện nay vượt quá tốc độ mà hầu hết các tổ chức có thể bảo mật nó."

Định luật Linus và vai trò của Token

Mặt khác, với AI, chúng ta cũng có thể hy vọng vá các lỗ hổng bảo mật mới phát hiện ngay khi chúng được tìm thấy. Rõ ràng, Cal không muốn mạo hiểm điều đó. Hoặc có lẽ, như ông chỉ ra, Pumfleet cảm thấy công ty không đủ khả năng chi trả.

Bởi vì, như Drew Breunig, một chiến lược gia công nghệ được kính trọng, lập luận trong một bài đăng blog gần đây: bảo mật mã nguồn hiện nay đã đi đến một phương trình "tàn khốc đơn giản: để củng cố một hệ thống, bạn cần tiêu nhiều token hơn để phát hiện khai thác hơn những gì kẻ tấn công sẽ tiêu để khai thác nó."

Theo một cách nào đó, đây là sự diễn giải lại Định luật của Linus. Ngày nay, thay vì "được đủ nhiều con mắt, mọi lỗi đều nông cạn", có lẽ nên diễn giải lại là "được đủ nhiều token, mọi lỗi đều nông cạn". Điều này giả định, tất nhiên, là bạn có đủ khả năng chi trả đủ token để đi trước kẻ tấn công.

Simon Willison, đồng sáng tạo Django, lập luận rằng: "Vì các khai thác bảo mật hiện nay có thể được tìm thấy bằng cách tiêu token, mã nguồn mở có GIÁ TRỊ HƠN vì các thư viện mã nguồn mở có thể chia sẻ ngân toán kiểm toán đó trong khi phần mềm mã nguồn độc quyền phải tự tìm tất cả các khai thác một cách riêng tư."

Phản ứng từ cộng đồng

Không cần phải nói, một số đối thủ tiềm năng đang tận dụng sự thay đổi chính sách đột ngột của Cal. Ryan Sipes, Quản lý Phát triển Sản phẩm & Kinh doanh của Mozilla Thunderbird, nói trên YComb: "Công cụ lập lịch của chúng tôi, Thunderbird Appointment, sẽ luôn là mã nguồn mở. Hãy đến nói chuyện với chúng tôi và xây dựng cùng chúng tôi. Chúng tôi sẽ giúp bạn thay thế Cal.com."

Nhìn chung, cộng đồng lập trình viên không tin vào câu chuyện của Cal.

Trên Reddit, một người tự hỏi Cal đã bao giờ nghiêm túc về bảo mật chưa. Dẫn chứng một số bản vá lỗi bảo mật gần đây, anh ấy nhận xét: "Những vấn đề này không phải là kết quả của việc hack tinh vi; chúng xuất phát từ những sự sơ suất cơ bản trong xác thực và kiểm soát truy cập."

Một bình luận hoài nghi trên Slashdot stated: "Nếu các công cụ tốt đến mức bạn sợ rằng chúng sẽ được sử dụng để phơi bày các lỗi bảo mật của mình... có lẽ bạn nên sử dụng các công cụ đó để tự tìm các lỗi bảo mật đó, và sau đó sửa chữa chúng thay vì tuyên bố bảo mật thông qua sự che giấu. Đây chỉ là chiếc lá che cho mong muốn rút lui khỏi cộng đồng mã nguồn mở khi sản phẩm đã đạt đến lợi nhuận."

Bảo mật nhờ che giấu đã chết

Nói về bảo mật nhờ che giấu, Peter Steinberger, người tạo ra OpenClaw, đã tweet: "Nếu bạn nhìn vào GPT 5.4-Cyber và khả năng dịch ngược mã nguồn độc quyền của nó, tôi có tin xấu cho bạn." Trong trường hợp bạn chưa xem GPT 5.4-Cyber, câu trả lời của OpenAI cho Mythos, OpenAI tuyên bố nó có thể dịch ngược tệp nhị phân (binary) thành mã nguồn.

Nếu nó có thể thực hiện lời hứa đó, bạn có thể tạm biệt lập luận "bảo mật nhờ che giấu" vốn luôn vô lý này mãi mãi. Cuối cùng chúng ta sẽ thấy thực sự bên trong Windows là gì – và điều đó sẽ thú vị đấy! Và vâng, việc bỏ mã nguồn mở để cải thiện bảo mật sẽ không còn là chuyện để bàn nữa.

Hãy lưu ý rằng, cho đến nay, không có công ty hoặc dự án nào khác theo bước chân cấp phép lại của Cal. Tôi nghi ngờ bất kỳ ai sẽ làm vậy.

Có, AI đang thay đổi lập trình mã nguồn mở một cách triệt để. Tôi không giả vờ hiểu lập trình mã nguồn mở sẽ trông như thế nào vào thời điểm này năm sau. Sự chuyển đổi của lập trình bởi AI quá rộng lớn để tôi thậm chí có thể đưa ra một phỏng đoán có học thức. Điều tôi có thể nói, tuy nhiên, là chúng ta sẽ tốt hơn nếu học cách sử dụng AI và mã nguồn mở cùng nhau thay vì rút lui vào các mô hình cấp phép độc quyền cũ kỹ và bị bác bỏ.