我的某项目结构如下： 
项目A：轻量的GPL-3开源项目 
项目B：基于项目A深度重构（基本没有核心代码共用）的高性能服务器，给项目A做备选数据源 
项目B可能可以考虑AGPL开源，但是项目B只进行过基础的脚本化渗透测试，依赖基础的公共WAF规则拦截部分恶意请求。 
项目均无商业化规划，也没有足够预算用于安全审计。GitHub社区协作基本上也是一潭死水。 
我目前担心的问题是，项目B开源后变成白盒模型，有可能出现无法提前掌握的0-day（至少目前可以在服务器日志看到可疑请求），甚至可能导致公共服务被攻击下线。 
佬友们觉得该怎么权衡？