“开源已死”？怕被OpenAI和Mythos把代码挖成筛子，4万Star项目突然闭源

背景：AI代码挖掘引发安全隐忧

• 近年来，AI代码工具如OpenAI Codex、Claude Code等迅猛发展，开发者大量使用这些工具来提升编程效率。
• 但随之而来的安全风险也逐渐浮现：这些工具训练数据来源广泛，可能包含大量开源项目代码。
• 有报告指出，AI模型可通过学习开源代码，逆向推测出潜在漏洞，甚至组合多个漏洞实现攻击链，引发严重安全隐患。

事件详情：4万Star项目紧急闭源

• 一个GitHub上拥有超过4万星标的热门开源项目，近日宣布立即闭源，引发技术圈震动。
• 该项目负责人表示，此举是为防止项目代码被Mythos等AI安全工具挖掘，暴露长期未被发现的深层漏洞。
• 项目团队在公告中强调，虽然目前未发现明确的数据泄露或漏洞利用证据，但出于谨慎，选择闭源以保护用户资产安全。

Mythos的“实战战绩”加剧恐慌

Mythos近期披露的攻防成果令开发者社区不安：

• 在开源系统OpenBSD中发现一个潜伏27年的远程崩溃漏洞。
• 在广泛使用的FFmpeg中找到一个隐藏16年的缺陷。
• 更令人震惊的是，Mythos能自主串联Linux内核多个漏洞，实现完整攻击链，从而控制整台机器。
  这些发现不仅显示AI在漏洞挖掘上的巨大潜力，也揭示了开源生态中可能存在的大量“沉睡”风险。

OpenAI巨额融资背后的AI竞争格局

• OpenAI近日完成一轮1220亿美元的融资，投后估值高达8600亿美元，显示出其在AI领域的强大资本支持。
• 这轮融资进一步推动AI工具在代码理解和漏洞识别方面的技术进步，也促使更多机构将AI应用于代码安全检测。
• 企业对AI代码工具的依赖加深，反过来也加剧了开源社区对数据安全和知识产权的担忧。

安全合规与开源精神的冲突

• 多家机构已开始全面排查办公设备，严禁使用境外AI代码工具，防止敏感代码被上传至外部模型训练数据池。
• 某机构的内部文件指出，Claude Code和OpenAI Codex可能将内部代码“无意”中带入模型中，造成数据泄露风险。
• 开源倡导者担忧，这种“过度防范”将打击开发者贡献热情，甚至引发“开源已死”的悲观论调。

行业影响与后续讨论

• 此次事件引发Axios、CNBC、The Verge、VentureBeat等多家主流媒体跟进报道。
• 开发者社区开始反思：是否应限制AI对开源代码的访问？开源许可协议是否需要更新？
• 一些专家建议：推动本地化AI代码分析工具，限制敏感代码开源，或采用更严格的许可证如GPLv3或SSPL来保护代码资产。