Automattic có đánh cắp mã nguồn mở không?

• Hãy tưởng tượng Apple coi Spotify là mối đe dọa và thực hiện các biện pháp bất công, rồi giả sử Spotify kiện Apple vì việc đó. Khi đó, nếu Apple đáp trả bằng các hành động như sau thì sao?
  • Khóa Spotify ra khỏi hệ sinh thái nhà phát triển và khiến việc cập nhật ứng dụng trên App Store trở nên bất khả thi
  • Tuyên bố rằng cần phải "làm gì đó" vì Spotify không thể cung cấp các bản cập nhật cần thiết
  • Âm thầm chuyển quyền sở hữu ứng dụng Spotify trên App Store sang cho Apple
  • Sửa mã để loại bỏ cách nâng cấp từ ứng dụng miễn phí lên các tính năng trả phí
  • Những người dùng hiện có của Spotify trên App Store giờ trở thành người dùng của Apple. Chỉ những người dùng Spotify trên các nền tảng ngoài App Store mới còn là người dùng của Spotify
  • Khi bị hỏi về tính công bằng, đội App Store khẳng định họ hành động độc lập với Apple
• Tất nhiên, chuyện như vậy sẽ không bao giờ xảy ra. Không chỉ phản cạnh tranh mà còn đáng ngờ về mặt pháp lý
• Nhưng nếu thay Apple bằng Automattic, App Store bằng WordPress.org, và Spotify bằng một trong những plugin WordPress phổ biến nhất, thì CEO của Automattic đang bị cáo buộc đã dàn dựng một việc tương tự
• Họ đã lấy quyền sở hữu plugin Advanced Custom Fields (ACF), do đối thủ lớn nhất của Automattic là WP Engine tạo ra
• Đây là một sự việc đáng xấu hổ chưa từng có trong lịch sử mã nguồn mở trên web

Tóm tắt tranh chấp doanh nghiệp giữa Automattic và WP Engine

• Automattic là công ty tạo ra CMS WordPress mã nguồn mở, và WordPress chiếm 43% số trang web, 65% thị phần CMS
• WordPress phổ biến nhờ giấy phép GPL có tính cho phép cao, theme mạnh, nhiều tùy chọn tùy biến, thương hiệu mạnh, đầu tư phát triển lớn, và đã tồn tại suốt 20 năm
• Automattic là công ty được VC hậu thuẫn đứng sau WordPress, là bên đóng góp lớn nhất cho dự án, và là công ty kiểm soát nhãn hiệu thương mại WordPress
• WP Engine là đối thủ trong mảng dịch vụ hosting WordPress managed phổ biến nhất, với doanh thu thường niên ước tính khoảng $400M, còn doanh thu thường niên của Automattic khoảng $500M
• Automattic đã huy động $980M vốn đầu tư mạo hiểm vào năm 2021 với mức định giá $7.5B, còn WP Engine nhận $250M vốn private equity từ Silver Lake Partners vào năm 2018

Automattic và WP Engine đang trong một cuộc tranh chấp doanh nghiệp toàn diện, và trong 2 tuần qua, Automattic đã khởi động chuỗi tấn công sau:

• Xúc phạm/đáp trả: WP Engine đáp lại những lời công kích công khai từ Automattic bằng lệnh yêu cầu chấm dứt
• Lệnh chấm dứt/tuân thủ: Automattic gửi lệnh yêu cầu chấm dứt với cáo buộc vi phạm nhãn hiệu, và WP Engine dường như đã đáp lại bằng cách cập nhật cách dùng nhãn hiệu thành fair use
• Chặn/giải pháp thay thế: WordPress Foundation (WordPress.org) chặn WP Engine truy cập thư mục plugin WordPress.org, và WP Engine phát triển giải pháp không phụ thuộc vào thư mục plugin WordPress.org
• Phản tố: WP Engine khởi kiện Automattic và mô tả đây là "một vụ việc về lạm dụng quyền lực, tống tiền và lòng tham". Họ cho rằng Automattic đã che giấu việc quyền nhãn hiệu WordPress được chuyển bí mật sang Automattic, và hành vi của Automattic đã gây thiệt hại kinh tế cho WP Engine và cộng đồng WordPress
• Bị chặn khỏi WordPress.org: Dù vụ kiện của WP Engine nhắm vào Automattic và CEO của họ, WordPress.org đã cấm mọi người có liên quan tới WP Engine truy cập trang và cập nhật plugin. Thư mục plugin WordPress.org là cách phần lớn các website WordPress cập nhật plugin
  > WordPress Foundation và Automattic hoàn toàn đan xen với nhau, và WordPress Foundation dường như đại diện cho lợi ích kinh doanh của Automattic. Matt Mullenweg, nhà sáng lập và CEO của Automattic, gần đây xác nhận rằng ông sở hữu WordPress.org với tư cách cá nhân. Vì các mối ràng buộc chồng chéo này, trong phần còn lại của bài viết, tác giả sẽ gọi Automattic là "tác nhân thực hiện" bao gồm cả những hành động của WordPress.org hay WordPress Foundation. Xét trên góc độ kinh doanh, các sự kiện hiện tại đang được thúc đẩy bởi lợi ích của Automattic.

Tranh cãi về việc chiếm đoạt plugin của WP Engine

• Vào ngày 13 tháng 10, Matt Mullenweg, CEO của Automattic và chủ sở hữu WordPress Foundation, thông báo trên Slack của WordPress rằng ông sẽ "fork" Advanced Custom Fields (ACF)
• Phản ứng với việc này hoàn toàn tiêu cực. Thông báo mở đầu như sau:
  > "Thay mặt đội ngũ bảo mật WordPress, chúng tôi công bố sẽ kích hoạt mục số 18 trong hướng dẫn của thư mục plugin để fork Advanced Custom Fields (ACF) thành một plugin mới tên là Secure Custom Fields. SCF đã được cập nhật để loại bỏ các upsell thương mại và xử lý các vấn đề bảo mật."
• Plugin ACF là plugin được cài đặt nhiều nhất do WP Engine tạo ra, và đứng thứ 28 về độ phổ biến trong toàn bộ plugin WordPress
• Automattic khẳng định thay đổi này là một "fork", nhưng điều đó không đúng sự thật:
  • Automattic có quyền fork plugin và thực sự đã fork, nhưng họ còn thay thế chính plugin đó trong thư mục plugin và âm thầm chuyển hơn 2 triệu khách hàng ACF sang bản fork này
  • URL vẫn giữ nguyên, các đánh giá cũ cũng vẫn còn. Những đánh giá chỉ ra sự việc này đang bị xóa tích cực
  • Hơn 2 triệu khách hàng đã cài plugin này trong 10 năm qua giờ thuộc về chủ sở hữu mới
• Quay lại ví dụ Apple và Spotify, điều này giống như Apple "chiếm đoạt" ứng dụng Spotify cùng toàn bộ người dùng của nó rồi khóa Spotify ra khỏi hệ sinh thái
• Trong lệnh yêu cầu chấm dứt, Automattic nói rằng "WP Engine hầu như không đóng góp gì cho WordPress", nhưng Automattic lại chiếm lấy 2 triệu website đang dùng plugin WordPress do WP Engine đóng góp và đã cực kỳ thành công suốt hơn 10 năm
• Hành động của Automattic ở một khía cạnh nào đó cũng giống một cuộc tấn công chuỗi cung ứng:
  • Khi một tác nhân âm thầm tiếp quản plugin trong thư mục plugin rồi phát hành thay đổi chức năng mà không công khai, điều đó được xem là tấn công chuỗi cung ứng, và đó chính xác là điều đã xảy ra ở đây
  • Automattic không chỉ lấy quyền sở hữu plugin ACF mà còn triển khai những thay đổi nhỏ trong logic nghiệp vụ mà không thông báo cho khách hàng, khiến hàng trăm website bị lỗi
• Hành động của Automattic dường như nhằm làm giảm doanh thu của WP Engine:
  • Trong thông báo của Matt Mullenweg có cụm từ "để loại bỏ các upsell thương mại"
  • WP Engine tạo ra doanh thu đáng kể từ plugin ACF Pro

Liệu WP Engine giờ có phải là nhà cung cấp hosting WordPress cấp doanh nghiệp duy nhất còn lại?

• Mọi nhà cung cấp WordPress sử dụng thư mục plugin WordPress.org đều đã trở thành một phần của cuộc tấn công chuỗi cung ứng do chính Automattic dẫn dắt
  • Ngoại lệ đáng chú ý là WP Engine. Họ đã bị chặn vài tuần trước và là một trong số rất ít nhà cung cấp managed không dùng thư mục plugin WordPress.org để cập nhật plugin
  • Kết quả là khách hàng của WP Engine không chứng kiến việc plugin ACF bị chiếm đoạt âm thầm
• Sự việc này là một kịch bản ác mộng với các doanh nghiệp coi trọng bảo mật chuỗi cung ứng
  • Automattic cho thấy họ sẵn sàng tiếp quản plugin theo ý muốn, đồng thời cũng cho thấy họ triển khai các thay đổi âm thầm với rất ít kiểm thử
  • Điều này có nghĩa là việc doanh nghiệp và tổ chức chính phủ phụ thuộc vào thư mục plugin WordPress.org là vô trách nhiệm
• Trớ trêu thay, có thể Automattic đã vô tình tạo ra quảng cáo tốt nhất cho đối thủ lớn nhất của mình trong cuộc chiến với WP Engine
  • WP Engine giờ có bằng chứng rằng họ miễn nhiễm với việc chiếm đoạt plugin trái phép
  • Không chỉ plugin ACF mà nhiều gói khác như Nitropack cũng không thể gửi cập nhật lên thư mục plugin WordPress. Tuy nhiên, khách hàng của WP Engine là ngoại lệ!

Triển vọng sắp tới

• Hai tuần trước, tôi đã suy đoán tranh chấp này có thể kết thúc ra sao, nhưng không thể tưởng tượng Automattic lại dùng trình quản lý plugin WordPress để chiếm đoạt plugin của công ty khác và lấy đi 2 triệu người dùng
• Automattic dường như không quan tâm mình gây hại bao nhiêu cho chính họ hay cho hệ sinh thái WordPress rộng lớn hơn, và sẽ dùng WordPress Foundation để thúc đẩy nghị trình của mình. Kết quả có thể là:
  • Khách hàng doanh nghiệp và chính phủ sẽ dè chừng khi chuyển sang WordPress
  • Các đối thủ của WordPress sẽ được lợi
  • WP Engine sẽ tìm cách tăng trưởng mảng doanh nghiệp
  • Automattic ngày càng trở nên khó đoán
  • Phần lớn các website WordPress sẽ không thay đổi
• Đáng tiếc là Automattic dường như đã vứt bỏ một chuẩn mực đạo đức tuy bất thành văn nhưng rất quý giá chỉ để làm đau WP Engine
  • Tuy nhiên, sử dụng một nền tảng trung lập (trình quản lý plugin WordPress) không nên là cách để giành chiến thắng trong kinh doanh.
  • Đặc biệt là trong mã nguồn mở, điều đó lại càng không nên xảy ra
• Hãy nghĩ xem sẽ thế nào nếu Microsoft chiếm đoạt một package phổ biến của đối thủ trên npm
  • Nếu điều khó thể tưởng tượng đó xảy ra, niềm tin và mức độ sử dụng hệ thống package npm sẽ lao dốc, và vì chính Microsoft là một tay chơi lớn, các cơ quan quản lý chống độc quyền có thể sẽ can thiệp và xử phạt
• WP Engine chắc chắn sẽ tiến hành tự vệ pháp lý, và ngoài việc hành xử văn minh để tiếp tục giành thị phần từ Automattic, có lẽ họ không cần làm gì khác
• Tôi hy vọng các bên trong cuộc tranh chấp này sẽ bình tĩnh lại và dừng cuộc chiến công khai. Mỗi lần họ ra đòn vào đối phương, rõ ràng đối phương bị thương, nhưng những người đứng ngoài cũng đang bị ảnh hưởng ngày càng nặng
  • Bộ phim drama này càng kéo dài, những người quan sát trung lập sẽ càng rời bỏ WordPress với ý định không bao giờ quay lại
• Bất kể kết quả ra sao, Automattic sẽ vĩnh viễn bị ghi nhớ là công ty đầu tiên vượt qua ranh giới đạo đức trong phần mềm web mã nguồn mở
• Vì để làm hại đối thủ lớn nhất, họ đã chiếm đoạt một plugin đang được đội khác tích cực duy trì, dùng một quỹ phi lợi nhuận để thực hiện cuộc tấn công được lên kế hoạch từ trước, và phớt lờ đạo đức của mã nguồn mở
• "Automattic, đã đến lúc cạnh tranh một cách công bằng"

Ý kiến của GN⁺

• Hành động lần này của Automattic dường như đã phản bội những chuẩn mực đạo đức quý giá của mã nguồn mở chỉ để gây tổn hại cho đối thủ
• Có thể dễ hiểu hơn nếu nghĩ tới việc Microsoft, đơn vị sở hữu npm, chiếm đoạt một package phổ biến của đối thủ. Nếu điều đó xảy ra, niềm tin vào npm sẽ sụp đổ
• WP Engine sẽ có hành động pháp lý, và chỉ cần giữ thái độ văn minh cũng có thể tiếp tục giành thị phần từ Automattic
• Hy vọng cả hai bên trong tranh chấp sẽ bình tĩnh lại và dừng cuộc chiến công khai. Cuộc chiến càng kéo dài, những người quan sát trung lập sẽ càng rời bỏ WordPress
• Từ nay về sau, Automattic sẽ bị ghi nhớ là công ty đầu tiên vượt qua ranh giới đạo đức trong phần mềm web mã nguồn mở. Vì để làm hại đối thủ lớn nhất, họ đã dùng một quỹ phi lợi nhuận để thực hiện cuộc tấn công được lên kế hoạch từ trước và phớt lờ đạo đức của mã nguồn mở
• Đã đến lúc Automattic phải cạnh tranh một cách công bằng