Desenvolvedor do Excalidraw, o plugin mais baixado do Obsidian, critica a pontuação do novo site da comunidade do Obsidian

Quando o Obsidian passou a divulgar avaliações de segurança, qualidade e manutenção de plugins em seu novo site da comunidade, Zsolt (zsviczian), desenvolvedor do Excalidraw — o plugin mais baixado, com 6,1 milhões de downloads acumulados (cerca de 5% do total) — publicou um vídeo de 27 minutos explicando sua posição do ponto de vista de desenvolvedor. O CEO do Obsidian, Steph Ango (kepano), também respondeu imediatamente no Reddit com um longo comentário, e a discussão continuou.

O que aconteceu

• O Obsidian tem cerca de 4.000 plugins e 120 milhões de downloads acumulados. Com o surgimento desenfreado de sites externos de análise de terceiros destacando problemas de segurança, uma resposta oficial se tornou inevitável
• O novo site da comunidade divulga scorecards automatizados de qualidade (quality), manutenção (maintenance) e segurança/qualidade de código (security)
• A revisão automática é baseada no obsidianmd/eslint-plugin, que já vinha sendo divulgado desde o ano passado, e desde junho de 2025 vinha sendo discutida com desenvolvedores em um canal do Discord
• O Excalidraw tinha uma pontuação inicial de cerca de 38~40% → marcado como "high risk". Zsolt descreveu isso como "a sensação de que a obra da minha vida foi manchada"

As alegações de Zsolt

• A diferença entre a "pontuação do scanner vs. a realidade" — cerca de 100 links externos foram classificados como risco, mas na prática eram apenas opt-in de OCR/IA, vídeos de ajuda, links para a loja de scripts etc., sem qualquer intenção maliciosa
• As limitações da API do Obsidian tornam código de contorno inevitável — API do Electron para impressão em PDF, exportação SVG do MathJax, ausência de distribuição de fontes/múltiplos assets → implementações de contorno acabam sendo marcadas imediatamente como "high risk"
• Exigir padrões comerciais de desenvolvedores hobbyistas — é um projeto de “0,1 pessoa”, não em tempo integral, mas de repente passou a receber expectativa de qualidade em nível enterprise
• Ausência de um framework para plugins pagos — entre 110.000 usuários regulares, há cerca de 100 apoiadores (0,09%). Fora o Ko-fi, não há caminho real de monetização
• Preocupação com retrocesso para closed source — surge um incentivo para tornar o código privado a fim de evitar a varredura
• Qual é o verdadeiro critério de confiança? — "Mais importante que a revisão de segurança são a longevidade do plugin, o nível de suporte e a conexão com o desenvolvedor"
• Ele próprio trabalhou por 4 dias e elevou a pontuação para 78%

Resposta de Steph Ango (kepano) — 292 likes no Reddit

• Um mês antes do lançamento, o novo site, dashboard e aviso já haviam sido compartilhados com os testadores alfa (incluindo Zsolt), e centenas de pontos foram incorporados com base no feedback dos desenvolvedores. No entanto, Zsolt não respondeu durante esse período
• Plugins populares já existentes (incluindo Excalidraw) foram tratados com "grandfathered", recebendo regras mais brandas que plugins novos
• Novos plugins closed source não serão aprovados por enquanto, mas os já existentes permanecerão
• Foram criadas política, rótulos e filtros para plugins pagos, mas, por causa das políticas de iOS/Android, não é possível impor compras dentro do app
• O próprio Obsidian também tem apenas cerca de 1% de usuários pagantes do Sync/Publish — um problema estrutural em que a Big Tech consolidou a percepção de que software deve ser gratuito"
• Ele também já foi desenvolvedor de temas/plugins populares no passado, então diz entender "a dor de ver a plataforma sob seus pés mudar"

Reação da comunidade

• "Numa era em que ataques à cadeia de suprimentos são rotina, jogar a responsabilidade para o usuário é um tanto ingênuo" (mesarthim_2, 112 likes)
• "Uma medição objetiva foi interpretada como ataque pessoal. Se você não gosta da pontuação, o certo é corrigir a pontuação" (DeliriumTrigger)
• "A própria comunidade open source ajudou a reforçar a ideia de que ‘de graça é o normal’. Não há nada de vergonhoso em ficar rico com um bom software" (mesarthim_2)
• "Assinaturas cansam. Uma licença única + pacote de Sync self-hosted me atrai mais" (rg_software)
• "Como a IA reduziu a barreira de entrada para desenvolver plugins, auditoria de segurança é essencial" (Legal_1425)

Por que isso importa

• A estrutura assimétrica de "1 milhão de usuários × 4.000 plugins × equipe central de 7 pessoas" — o caso do Obsidian mostra claramente o dilema de governança de qualquer ecossistema aberto operado por equipes pequenas (VSCode, Raycast, Logseq etc.)
• Uma tentativa de aumentar a transparência de segurança pode, paradoxalmente, levar a burnout de desenvolvedores hobbyistas → retorno ao closed source → fechamento do ecossistema
• A pergunta central acaba sendo: "Não existe almoço grátis. Quem vai pagar a conta?"

Texto original

• 💬 Reddit: https://reddit.com/r/ObsidianMD/…
• 📋 Anúncio oficial do Obsidian: The Future of Plugins