AI bug huntingでsourceを閉じるべきか、HNはOpen Sourceの計算を問い直した

HNで351 pointsと182 commentsを集めた Open Source Isn't Dead は、Cal.comの方針転換をきっかけにopen sourceとAI securityの議論を再点火した。元の Strix記事 の主張は、AIによってvulnerability discoveryは速く安くなったが、sourceを閉じても稼働中のserviceのattack surfaceは残る、というものだ。

community discussionが熱を持ったのは、これが抽象論ではないからだ。あるmaintainerは、ここ数カ月でAI-assistedに見えるsecurity reportが増えたと説明した。多くはcorner caseだったが、実際に修正したものもあったという。open source側の実務的な利点はここにある。ノイズは増えるが、外部からの検証と修正の入口も残る。

一方で、Cal.comの説明はsecurityよりbusiness modelの話ではないか、という見方も強かった。Open Source SaaSは収益化が難しく、AIはcodebaseの理解や再利用をさらに簡単にする。別のコメント群はsecurity through obscurityを全面否定せず、主防御にしてはいけないが、攻撃者にtoken、時間、toolingの追加コストを払わせる補助線にはなると見ていた。

このthreadの価値は、openかclosedかの判定ではなく、maintenanceの現実を絞り込んだ点にある。公開repositoryは、自動生成された報告をどうtriageし、reproducibleな証拠をどう求め、continuous scanningをどう運用するのか。closed-source製品は、community auditなしで同じ信頼をどう示すのか。HNが拾ったのは、AI時代のopen sourceが終わったという話ではなく、防御と運用の費用負担が見えやすくなったという変化だった。