https://x.com/discourse/status/2044979077443166217?s=46
這篇文章是 Discourse 聯合創始人 Sam Saffron 在 2026 年 4 月 16 日發的表態文。背景是 Cal.com 宣布不再維持開源,理由是 AI 讓攻擊者更容易掃描代碼、挖掘漏洞。Saffron 的回應很明確:Discourse 不會因此轉向閉源,GPLv2 授權不變。 
文章的主要意思是,AI 確實改變了安全環境,但這不等於「把代碼藏起來」就更安全。作者認為,對 SaaS 產品來說,攻擊者本來就可以從瀏覽器端的 JavaScript、API 行為、客戶端流程、執行中的系統去分析漏洞,閉源只能遮住一部分伺服器端細節,卻同時削弱外部研究者、貢獻者與社群一起參與防禦的能力。所以他把 Cal.com 的做法看成更像商業與競爭壓力下的選擇,而不是真正更優的安全策略。 
Discourse 給出的判斷是,在 AI 時代,更合理的做法不是減少可見性,而是讓防守方也全面使用 AI。他文中說,Discourse 團隊最近幾個月一直用 GPT-5.3 Codex、GPT-5.4 和 Claude Opus 4.6 去掃描自己的開源代碼庫;最近一次月度發布裡,有 50 個安全問題就是靠多日掃描後修掉的。它們的流程是先大規模掃控制器與可疑點,再讓 agent 在完整容器環境裡寫失敗測試驗證問題是否真實,確認後再交給人工處理,並同時生成候選修補方案。 
文章後半段其實是在講一種立場。Discourse 認為自己從 Ruby、Rails、PostgreSQL、Redis、Linux 這些開源生態中受益而生,因此也有責任把代碼繼續開放下去。作者還說,Discourse 自 2013 年開源到現在,已經有超過 22,000 個社群在使用,十三年的經驗並沒有讓他們相信「公開源碼使自己更不安全」;相反,他認為真正有效的防線是更快地發現漏洞、更快地修補、把整個上游生態一起加固,而不是退回到一種脆弱的「安全性來自隱蔽」的想法。 
如果只壓成一句正常話來說,這篇文不是在否認 AI 帶來的安全壓力,而是在說:AI 既然已經把找漏洞這件事變得更便宜,那就應該讓更多防守者也能用同樣的工具,而不是把門關上。