Obsidianで最多ダウンロードのExcalidraw開発者、新コミュニティサイトのスコアに反発

Obsidianが新しいコミュニティサイトでプラグインのセキュリティ・品質・保守性レビューを公開したことで、累計ダウンロード610万回（全体の約5%）を記録する最多ダウンロードプラグイン Excalidraw の開発者 Zsolt（zsviczian）が、27分の動画で開発者の立場から見解を表明した。Obsidian CEO の Steph Ango（kepano）もすぐに Reddit で長文の返信を投稿し、議論が続いている。

何が起きたのか

• Obsidian は約4,000のプラグインと累計1億2,000万ダウンロードを抱える。外部のサードパーティ製レビュ―サイトが雨後の筍のように登場し、セキュリティ問題を強調するようになったことで、公式な対応が避けられない状況になっていた
• 新しいコミュニティサイトでは、品質（quality）、保守性（maintenance）、セキュリティ/コード品質（security）などの自動スコアカードを公開
• 自動レビューは昨年から公開してきた obsidianmd/eslint-plugin ベースで、2025年6月から Discord チャンネルで開発者たちと協議してきた
• Excalidraw は初期スコアがおよそ38〜40%で、"high risk" と表示された。Zsolt は「自分の人生の作品が汚されたような気持ち」と表現

Zsolt の主張

• 「スキャナーの点数 vs 現実」の乖離 — 外部リンク約100件が危険と分類されたが、実際には OCR/AI のオプトイン、ヘルプ動画、スクリプトストアへのリンクなどであり、悪意はまったくない
• Obsidian API の限界により回避コードが不可避 — PDF 印刷用の Electron API、MathJax SVG export、フォント/マルチアセット配布の不在により、回避実装がそのまま "high risk" と判定される
• 趣味開発者に商用レベルの基準を要求している — フルタイムではない 0.1人分のプロジェクトなのに、突然エンタープライズ級の品質期待を背負わされた
• 有料プラグインのフレームワークがない — 110,000人の定期利用者のうち支援者は約100人（0.09%）。Ko-fi 以外に収益化の手段がない
• クローズドソースへの逆行が懸念される — スキャンを避けるため非公開化へ転じるインセンティブが生まれる
• 信頼の本当の基準は何か？ — 「セキュリティレビューよりも、プラグインの寿命、サポート水準、開発者とのつながりの方が重要だ」
• 本人は4日間かけて作業し、スコアを78%まで引き上げた

Steph Ango（kepano）の回答 — Reddit で292 likes

• リリース1か月前、アルファテスター（Zsolt を含む）に新サイト・ダッシュボード・告知をすべて共有し、開発者のフィードバックを受けて数百件を反映した。ただし Zsolt からはこの期間、返答がなかった
• 既存の人気プラグイン（Excalidraw を含む）は "grandfathered" 扱いとなり、新規プラグインより緩いルールを適用
• クローズドソースの新規プラグインは当面未承認とし、既存のクローズドソースは維持
• 有料プラグイン向けのポリシー・ラベル・フィルタリングを新設したが、iOS/Android のポリシー上、アプリ内課金の強制はできない
• Obsidian 自体も有料の Sync/Publish 利用者は約1%にすぎない — Big Tech が無料ソフトウェアは当然という認識を固定化してしまったという構造的問題がある
• 自身も過去に人気テーマ/プラグインの開発者だったため、「足元のプラットフォームが変わる痛み」には共感している

コミュニティの反応

• 「サプライチェーン攻撃が日常化した時代に、ユーザー責任論はやや甘い」（mesarthim_2、112 likes）
• 「客観的な測定を個人攻撃として受け取ってしまった。点数が気に入らないなら、正解は点数を直すことだ」（DeliriumTrigger）
• 「オープンソースコミュニティ自体が、『無料が当たり前』という認識に加担してきた。良いソフトウェアで豊かになるのは恥ずかしいことではない」（mesarthim_2）
• 「サブスクリプションには疲れる。買い切りライセンス + セルフホスト Sync パッケージの方が魅力的だ」（rg_software）
• 「AI がプラグイン開発の参入障壁を下げた分、セキュリティ監査は必須だ」（Legal_1425）

なぜ重要なのか

• 「100万人のユーザー × 4,000のプラグイン × 7人のコアチーム」という非対称な構造 — Obsidian の事例は、小規模チームが運営するあらゆるオープンエコシステム（VSCode、Raycast、Logseq など）のガバナンス上のジレンマをそのまま示している
• セキュリティの透明性を高めようとする試みが、趣味開発者のバーンアウト → クローズドソース回帰 → エコシステムの閉鎖という逆説につながる可能性がある
• 結局のところ中核の問いはこれだ: 「タダの昼食はない。誰がコストを支払うのか？」

原文

• 💬 Reddit: https://reddit.com/r/ObsidianMD/…
• 📋 Obsidian 公式発表: The Future of Plugins