Nhà phát triển Excalidraw, plugin được tải nhiều nhất trên Obsidian, phản đối điểm số của trang cộng đồng mới của Obsidian

Khi Obsidian công khai các bài đánh giá về bảo mật, chất lượng và khả năng bảo trì plugin trên trang cộng đồng mới, Zsolt (zsviczian), nhà phát triển của Excalidraw — plugin có số lượt tải cao nhất với 6,1 triệu lượt tải tích lũy (khoảng 5% toàn hệ sinh thái) — đã đăng một video dài 27 phút để trình bày quan điểm từ góc nhìn nhà phát triển. CEO Obsidian Steph Ango (kepano) cũng ngay lập tức đáp lại bằng một bình luận dài trên Reddit, và cuộc tranh luận tiếp tục diễn ra.

Chuyện gì đã xảy ra

• Obsidian hiện có khoảng 4.000 plugin và tổng cộng 120 triệu lượt tải. Khi các trang đánh giá bên thứ ba mọc lên như nấm và liên tục nhấn mạnh các vấn đề bảo mật, việc có một phản ứng chính thức trở nên gần như không thể tránh khỏi
• Trang cộng đồng mới công khai các bảng điểm tự động về chất lượng (quality), khả năng bảo trì (maintenance) và bảo mật/chất lượng mã (security)
• Hệ thống đánh giá tự động dựa trên obsidianmd/eslint-plugin, vốn đã được công khai từ năm ngoái, và từ tháng 6/2025 đã được thảo luận với các nhà phát triển trong kênh Discord
• Excalidraw ban đầu có điểm khoảng 38~40% → bị gắn nhãn "high risk". Zsolt mô tả rằng ông có cảm giác như "đứa con tinh thần của đời mình bị bôi bẩn"

Lập luận của Zsolt

• Khoảng cách giữa "điểm của máy quét và thực tế" — khoảng 100 liên kết ngoài bị phân loại là rủi ro, nhưng trên thực tế đó chỉ là liên kết cho OCR/AI theo cơ chế opt-in, video hướng dẫn, liên kết đến kho script... hoàn toàn không có ý đồ độc hại
• Do giới hạn của Obsidian API nên code vòng tránh là điều khó tránh khỏi — Electron API để in PDF, xuất SVG qua MathJax, thiếu cơ chế phân phối font/tài nguyên đa thành phần → các cách triển khai vòng tránh này ngay lập tức bị gắn là "high risk"
• Áp tiêu chuẩn thương mại lên nhà phát triển làm vì sở thích — đây không phải dự án toàn thời gian mà chỉ như một dự án 0,1 người, nhưng đột nhiên lại bị kỳ vọng đạt chất lượng cấp doanh nghiệp
• Thiếu framework cho plugin trả phí — trong số 110.000 người dùng thường xuyên, chỉ khoảng 100 người tài trợ (0,09%). Ngoài Ko-fi gần như không có con đường kiếm tiền nào khác
• Lo ngại đi ngược về closed source — để tránh bị quét, các nhà phát triển có thể có động lực chuyển sang đóng mã
• Đâu mới là thước đo thật sự của niềm tin? — "Quan trọng hơn bài đánh giá bảo mật là tuổi thọ của plugin, mức độ hỗ trợ và sự kết nối với nhà phát triển"
• Bản thân ông đã dành 4 ngày làm việc để kéo điểm lên 78%

Phản hồi của Steph Ango (kepano) — Reddit 292 likes

• Một tháng trước khi phát hành, các alpha tester (bao gồm cả Zsolt) đã được chia sẻ toàn bộ trang mới, dashboard và thông báo; hàng trăm phản hồi từ nhà phát triển đã được phản ánh. Tuy nhiên, trong giai đoạn đó Zsolt không phản hồi
• Các plugin phổ biến hiện có (bao gồm Excalidraw) được xử lý theo diện "grandfathered", nên áp dụng quy tắc nới lỏng hơn so với plugin mới
• Các plugin mới dạng closed source sẽ tạm thời không được phê duyệt, còn các plugin closed source hiện có vẫn được giữ nguyên
• Obsidian đã bổ sung chính sách, nhãn và bộ lọc cho plugin trả phí, nhưng do chính sách iOS/Android nên không thể bắt buộc thanh toán trong ứng dụng
• Ngay cả Obsidian cũng chỉ có khoảng 1% người dùng trả tiền cho Sync/Publish — đây là vấn đề cấu trúc khi Big Tech đã khiến nhận thức "phần mềm phải miễn phí" trở nên cố định"
• Bản thân ông trước đây cũng từng là nhà phát triển theme/plugin nổi tiếng, nên đồng cảm với "nỗi đau khi nền tảng dưới chân mình thay đổi"

Phản ứng của cộng đồng

• "Trong thời đại tấn công chuỗi cung ứng đã trở thành chuyện thường ngày, việc đổ trách nhiệm cho người dùng là hơi ngây thơ" (mesarthim_2, 112 likes)
• "Bạn đã xem một phép đo khách quan như một cuộc tấn công cá nhân. Nếu không thích điểm số thì câu trả lời đúng là sửa điểm số đó" (DeliriumTrigger)
• "Chính cộng đồng mã nguồn mở cũng góp phần tạo ra nhận thức rằng 'miễn phí là điều hiển nhiên'. Trở nên giàu có nhờ phần mềm tốt không phải điều đáng xấu hổ" (mesarthim_2)
• "Thuê bao gây mệt mỏi. Giấy phép mua một lần + gói Sync tự host hấp dẫn hơn" (rg_software)
• "Khi AI đã hạ thấp rào cản gia nhập cho việc phát triển plugin, kiểm toán bảo mật là điều bắt buộc" (Legal_1425)

Vì sao điều này quan trọng

• Cấu trúc bất đối xứng của "1 triệu người dùng × 4.000 plugin × 7 người trong core team" — trường hợp của Obsidian cho thấy rõ thế tiến thoái lưỡng nan về quản trị của mọi hệ sinh thái mở do các nhóm nhỏ vận hành (VSCode, Raycast, Logseq...)
• Nỗ lực tăng tính minh bạch bảo mật có thể dẫn đến một nghịch lý: nhà phát triển làm vì sở thích kiệt sức → quay về closed source → hệ sinh thái trở nên khép kín hơn
• Câu hỏi cốt lõi rốt cuộc vẫn là: "Không có bữa trưa nào miễn phí. Vậy ai sẽ trả chi phí?"

Bài gốc

• 💬 Reddit: https://reddit.com/r/ObsidianMD/…
• 📋 Thông báo chính thức của Obsidian: The Future of Plugins