Automattic ขโมยโอเพนซอร์สหรือไม่?

• ลองจินตนาการถึงสถานการณ์ที่ Apple มองว่า Spotify เป็นภัยคุกคามและใช้มาตรการที่ไม่เป็นธรรม และสมมติว่า Spotify ฟ้อง Apple ในเรื่องนี้ แล้ว Apple ตอบโต้ด้วยการทำสิ่งต่อไปนี้?
  • ล็อก Spotify ออกจากระบบนิเวศของนักพัฒนา และทำให้ไม่สามารถอัปเดตแอปบน App Store ได้
  • ประกาศว่า “จำเป็นต้องทำอะไรบางอย่าง” เพราะ Spotify ไม่สามารถส่งมอบการอัปเดตที่จำเป็นได้
  • โอนความเป็นเจ้าของแอป Spotify บน App Store ไปให้ Apple อย่างเงียบ ๆ
  • แก้ไขโค้ดเพื่อลบวิธีอัปเกรดจากแอปฟรีไปเป็นฟีเจอร์แบบเสียเงิน
  • ผู้ใช้เดิมของ Spotify บน App Store จะกลายเป็นผู้ใช้ของ Apple ส่วนผู้ใช้ที่ใช้แอป Spotify บนแพลตฟอร์มนอก App Store เท่านั้นจึงจะยังคงเป็นผู้ใช้ของ Spotify
  • เมื่อถูกถามเรื่องความเป็นธรรม ทีม App Store ก็อ้างว่าทำงานอย่างเป็นอิสระจาก Apple
• แน่นอนว่าสิ่งแบบนี้คงไม่มีวันเกิดขึ้น เพราะไม่เพียงต่อต้านการแข่งขัน แต่ยังน่าสงสัยในทางกฎหมายด้วย
• แต่ถ้าแทนที่ Apple ด้วย Automattic, App Store ด้วย WordPress.org และ Spotify ด้วยหนึ่งในปลั๊กอิน WordPress ที่ได้รับความนิยมสูงสุด ก็มีการกล่าวหา CEO ของ Automattic ว่าเป็นผู้จัดการเรื่องที่คล้ายกันนี้
• สิ่งที่เกิดขึ้นคือการเข้ายึดความเป็นเจ้าของปลั๊กอินชื่อ Advanced Custom Fields (ACF) ซึ่งสร้างโดย WP Engine คู่แข่งรายใหญ่ที่สุดของ Automattic
• เหตุการณ์นี้เป็นเรื่องน่าอับอายที่ไม่เคยมีมาก่อนในประวัติศาสตร์โอเพนซอร์สบนเว็บ

สรุปข้อพิพาททางธุรกิจระหว่าง Automattic และ WP Engine

• Automattic เป็นบริษัทผู้สร้าง WordPress CMS แบบโอเพนซอร์ส และ WordPress ถูกใช้งานในเว็บเพจ 43% และคิดเป็น 65% ของตลาด CMS
• เหตุผลที่ WordPress ได้รับความนิยมคือไลเซนส์ GPL ที่เปิดกว้าง, ธีมที่ทรงพลัง, ตัวเลือกการปรับแต่งจำนวนมาก, แบรนด์ที่แข็งแกร่ง, การลงทุนพัฒนาจำนวนมหาศาล และการดำรงอยู่มากว่า 20 ปี
• Automattic เป็นบริษัทที่ได้รับเงินทุนจาก VC อยู่เบื้องหลัง WordPress เป็นผู้มีส่วนร่วมรายใหญ่ที่สุดของโปรเจกต์ และเป็นบริษัทที่ควบคุมเครื่องหมายการค้า WordPress เชิงพาณิชย์
• WP Engine เป็นผู้ท้าชิงในตลาด managed WordPress hosting ที่ได้รับความนิยมสูง โดยคาดว่ามีรายได้ต่อปีราว $400M ขณะที่ Automattic มีรายได้ต่อปีราว $500M
• Automattic ระดมทุนร่วมลงทุนได้ $980M ในปี 2021 จนมีมูลค่าบริษัท $7.5B ส่วน WP Engine ได้รับเงินลงทุนแบบ private equity $250M จาก Silver Lake Partners ในปี 2018

Automattic และ WP Engine กำลังอยู่ในข้อพิพาททางธุรกิจเต็มรูปแบบ และในช่วง 2 สัปดาห์ที่ผ่านมา Automattic ได้เริ่มการโจมตีต่อเนื่องดังนี้:

• ดูหมิ่น/โต้กลับ: หลังจาก Automattic โจมตีต่อสาธารณะ WP Engine ตอบโต้ด้วยคำสั่งให้ยุติการกระทำ
• คำสั่งให้ยุติการกระทำ/ปฏิบัติตาม: Automattic ส่งหนังสือเตือนโดยอ้างการละเมิดเครื่องหมายการค้า และ WP Engine ดูเหมือนจะตอบสนองด้วยการอัปเดตการใช้เครื่องหมายการค้าให้เป็น fair use
• บล็อก/หาทางออก: WordPress Foundation (WordPress.org) บล็อกไม่ให้ WP Engine เข้าถึงไดเรกทอรีปลั๊กอินของ WordPress.org และ WP Engine ก็พัฒนาแนวทางแก้ไขที่ไม่ต้องพึ่งพาไดเรกทอรีปลั๊กอินของ WordPress.org
• ฟ้องกลับ: WP Engine ยื่นฟ้อง Automattic โดยเรียกกรณีนี้ว่าเป็น “คดีเกี่ยวกับการใช้อำนาจในทางที่ผิด การกรรโชก และความโลภ” พร้อมกล่าวหาว่า Automattic ปกปิดข้อเท็จจริงที่ว่าเครื่องหมายการค้า WordPress ถูกโอนให้ Automattic อย่างลับ ๆ และการกระทำของ Automattic ได้สร้างความเสียหายทางเศรษฐกิจต่อทั้ง WP Engine และชุมชน WordPress
• ถูกบล็อกจาก WordPress.org: แม้คดีของ WP Engine จะยื่นต่อ Automattic และ CEO ของบริษัท แต่ WordPress.org กลับห้ามทุกคนที่เกี่ยวข้องกับ WP Engine เข้าถึงไซต์และอัปเดตปลั๊กอิน ทั้งที่ไดเรกทอรีปลั๊กอินของ WordPress.org เป็นวิธีหลักที่เว็บไซต์ WordPress ส่วนใหญ่ใช้ในการอัปเดตปลั๊กอิน

WordPress Foundation และ Automattic พัวพันกันอย่างแยกไม่ออก และ WordPress Foundation ดูเหมือนจะเป็นตัวแทนผลประโยชน์ทางธุรกิจของ Automattic Matt Mullenweg ผู้ก่อตั้งและ CEO ของ Automattic เพิ่งยืนยันเมื่อไม่นานมานี้ว่าเขาเป็นเจ้าของ WordPress.org เป็นการส่วนตัว ด้วยความเชื่อมโยงที่ซับซ้อนนี้ ตลอดส่วนที่เหลือของบทความนี้จะเรียก Automattic ว่าเป็น “ผู้กระทำการ” รวมถึงเมื่อกล่าวถึงการกระทำของ WordPress.org หรือ WordPress Foundation ด้วย ในมุมมองทางธุรกิจ เหตุการณ์ปัจจุบันนี้ถูกขับเคลื่อนโดยผลประโยชน์ของ Automattic

ข้อถกเถียงเรื่องการยึดปลั๊กอินของ WP Engine

• เมื่อวันที่ 13 ตุลาคม Matt Mullenweg ซึ่งเป็น CEO ของ Automattic และเจ้าของ WordPress Foundation ได้ประกาศใน WordPress Slack ว่าจะ “fork” Advanced Custom Fields (ACF)
• ปฏิกิริยาที่ตามมาเป็นลบทั้งหมด โดยประกาศเริ่มต้นดังนี้:

  “ในนามของทีมความปลอดภัย WordPress เราขอประกาศว่าเราได้บังคับใช้ข้อ 18 ของแนวทางไดเรกทอรีปลั๊กอินเพื่อ fork Advanced Custom Fields (ACF) เป็นปลั๊กอินใหม่ชื่อ Secure Custom Fields โดย SCF ได้รับการอัปเดตเพื่อนำ commercial upsell ออกและแก้ไขปัญหาด้านความปลอดภัย”

• ปลั๊กอิน ACF เป็นปลั๊กอินที่มีการติดตั้งมากที่สุดที่สร้างโดย WP Engine และอยู่ในอันดับ 28 ของปลั๊กอิน WordPress ที่ได้รับความนิยมโดยรวม
• Automattic อ้างว่าการเปลี่ยนแปลงนี้เป็น “การ fork” แต่ความจริงไม่ใช่เช่นนั้น:
  • Automattic มีสิทธิที่จะ fork ปลั๊กอินและก็ได้ทำเช่นนั้นจริง แต่ในเวลาเดียวกันก็เข้าไปแทนที่ปลั๊กอินนั้นในไดเรกทอรีปลั๊กอิน และย้ายลูกค้า ACF กว่า 2 ล้านรายไปยัง fork นี้อย่างเงียบ ๆ
  • URL เดิมยังคงอยู่ และรีวิวเดิมก็ยังคงอยู่เช่นกัน ขณะที่รีวิวที่ชี้ให้เห็นเหตุการณ์นี้กำลังถูกลบอย่างจริงจัง
  • ลูกค้ากว่า 2 ล้านรายที่ติดตั้งปลั๊กอินนี้ตลอด 10 ปีที่ผ่านมา บัดนี้กลายเป็นของเจ้าของรายใหม่
• หากย้อนกลับไปที่ตัวอย่าง Apple กับ Spotify ก็เหมือนกับว่า Apple “ชิงเอา” แอปของ Spotify และผู้ใช้ทั้งหมดไป พร้อมทั้งล็อก Spotify ออกจากระบบนิเวศ
• ในหนังสือเตือน Automattic อ้างว่า “WP Engine แทบไม่ได้มีส่วนร่วมอะไรกับ WordPress เลย” แต่ขณะเดียวกัน Automattic กลับเข้ายึดเว็บไซต์ 2 ล้านแห่งที่ใช้งานปลั๊กอิน WordPress ซึ่งเป็นผลงานที่ WP Engine สร้างและประสบความสำเร็จอย่างสูงมานานกว่า 10 ปี
• การกระทำของ Automattic ในบางแง่ก็คล้ายกับ supply chain attack:
  • หากผู้กระทำการในไดเรกทอรีปลั๊กอินเข้าควบคุมปลั๊กอินอย่างเงียบ ๆ และปล่อยการเปลี่ยนแปลงฟังก์ชันโดยไม่เปิดเผย ปกติจะถือว่าเป็น supply chain attack ซึ่งกรณีนี้ก็เกิดสิ่งนั้นขึ้นอย่างตรงตัว
  • Automattic ไม่เพียงยึดความเป็นเจ้าของปลั๊กอิน ACF เท่านั้น แต่ยังปล่อยการเปลี่ยนแปลง business logic เล็กน้อยโดยไม่แจ้งลูกค้า ซึ่งทำให้เว็บไซต์หลายร้อยแห่งพัง
• การกระทำของ Automattic ดูเหมือนมีเป้าหมายเพื่อลดรายได้ของ WP Engine:
  • ในประกาศของ Matt Mullenweg มีวลีว่า “เพื่อนำ commercial upsell ออก”
  • WP Engine สร้างรายได้จำนวนมากจากปลั๊กอิน ACF Pro

WP Engine กลายเป็นผู้ให้บริการ WordPress ระดับองค์กรเพียงรายเดียวที่เหลืออยู่หรือไม่?

• ผู้ให้บริการ WordPress ทุกรายที่ใช้ไดเรกทอรีปลั๊กอินของ WordPress.org กลายเป็นส่วนหนึ่งของ supply chain attack ที่ Automattic เป็นผู้ลงมือเอง
  • ข้อยกเว้นที่น่าสนใจคือ WP Engine ซึ่งถูกบล็อกไปเมื่อหลายสัปดาห์ก่อน ทำให้เป็นหนึ่งในผู้ให้บริการ managed รายไม่กี่รายที่ไม่ใช้ไดเรกทอรีปลั๊กอินของ WordPress.org สำหรับอัปเดตปลั๊กอิน
  • ด้วยเหตุนี้ ลูกค้าของ WP Engine จึงไม่เห็นการยึดปลั๊กอิน ACF อย่างเงียบ ๆ
• เหตุการณ์นี้เป็นฝันร้ายสำหรับองค์กรที่ให้ความสำคัญกับความปลอดภัยของ supply chain
  • Automattic แสดงให้เห็นว่าพร้อมจะเข้ายึดปลั๊กอินตามต้องการ และยังแสดงให้เห็นด้วยว่าพร้อมปล่อยการเปลี่ยนแปลงแบบเงียบ ๆ โดยแทบไม่ทดสอบ
  • นี่หมายความว่าการที่องค์กรธุรกิจและหน่วยงานรัฐพึ่งพาไดเรกทอรีปลั๊กอินของ WordPress.org นั้นเป็นเรื่องที่ขาดความรับผิดชอบ
• น่าขันที่ในการทำสงครามกับ WP Engine นั้น Automattic อาจสร้างโฆษณาที่ดีที่สุดให้คู่แข่งรายใหญ่ที่สุดของตัวเอง
  • ตอนนี้ WP Engine มีหลักฐานว่าตนเองมีภูมิคุ้มกันต่อการยึดปลั๊กอินโดยพลการ
  • ไม่ใช่แค่ปลั๊กอิน ACF เท่านั้น แต่แพ็กเกจหลายตัว เช่น Nitropack ก็ไม่สามารถส่งอัปเดตผ่านไดเรกทอรีปลั๊กอินของ WordPress ได้อีกแล้ว ยกเว้นลูกค้าของ WP Engine!

แนวโน้มต่อจากนี้

• เมื่อ 2 สัปดาห์ก่อน ฉันเคยคาดเดาว่าข้อพิพาทนี้อาจจบลงอย่างไร แต่ไม่เคยนึกเลยว่า Automattic จะใช้ตัวจัดการปลั๊กอินของ WordPress เพื่อยึดปลั๊กอินของบริษัทอื่นและดึงผู้ใช้ 2 ล้านคนไป
• Automattic ดูเหมือนจะไม่สนใจว่ากำลังสร้างความเสียหายให้ตัวเองหรือระบบนิเวศ WordPress ในวงกว้างมากแค่ไหน และจะใช้ WordPress Foundation เพื่อผลักดันวาระของตนเองต่อไป ผลที่อาจเกิดขึ้นมีดังนี้:
  • ลูกค้าองค์กรและภาครัฐจะระวังการย้ายมาใช้ WordPress
  • คู่แข่งของ WordPress จะได้ประโยชน์
  • WP Engine จะพยายามขยายธุรกิจฝั่งองค์กร
  • Automattic จะยิ่งถูกมองว่าคาดเดาไม่ได้มากขึ้น
  • เว็บไซต์ WordPress ส่วนใหญ่จะไม่มีอะไรเปลี่ยนแปลง
• น่าเสียดายที่ดูเหมือน Automattic ได้ละทิ้งจริยธรรมที่แม้ไม่เป็นลายลักษณ์อักษรแต่มีคุณค่า เพื่อทำร้าย WP Engine
  • อย่างไรก็ตาม การใช้แพลตฟอร์มที่เป็นกลาง (ตัวจัดการปลั๊กอิน WordPress) ไม่ควรกลายเป็นวิธีชนะในธุรกิจ
  • โดยเฉพาะในโลกโอเพนซอร์ส ยิ่งไม่ควรเป็นเช่นนั้น
• ลองคิดดูว่าจะเกิดอะไรขึ้นหาก Microsoft เข้ายึดแพ็กเกจยอดนิยมของคู่แข่งบน npm
  • หากเกิดสิ่งที่แม้แต่จินตนาการได้ยากแบบนี้ขึ้นจริง ความเชื่อมั่นและการใช้งานระบบแพ็กเกจ npm จะตกฮวบ และเนื่องจาก Microsoft เองก็เป็นผู้เล่นรายใหญ่มาก หน่วยงานกำกับดูแลด้านการผูกขาดก็อาจเข้ามาแทรกแซงและลงโทษได้
• WP Engine น่าจะเดินหน้าป้องกันตัวทางกฎหมายอย่างแน่นอน และแทบไม่จำเป็นต้องทำอะไรนอกจากวางตัวอย่างมีอารยะ เพื่อแย่งส่วนแบ่งตลาดจาก Automattic ต่อไป
• ฉันหวังให้คู่ขัดแย้งในกรณีนี้ใจเย็นลงและหยุดการต่อสู้ในที่สาธารณะ ทุกครั้งที่โจมตีกัน ฝ่ายตรงข้ามย่อมเจ็บตัวแน่ แต่ผู้ยืนดูอยู่ข้าง ๆ ก็ได้รับผลกระทบหนักขึ้นเรื่อย ๆ เช่นกัน
  • ยิ่งดราม่านี้ยืดเยื้อ ผู้สังเกตการณ์ที่เป็นกลางก็จะยิ่งจาก WordPress ไปโดยตั้งใจว่าจะไม่หวนกลับมาอีก
• ไม่ว่าผลลัพธ์จะเป็นอย่างไร Automattic จะถูกจดจำไปตลอดว่าเป็นบริษัทแรกที่ข้ามเส้นจริยธรรมในซอฟต์แวร์เว็บโอเพนซอร์ส
• เพราะเพื่อทำร้ายคู่แข่งรายใหญ่ที่สุดของตน บริษัทได้เข้ายึดปลั๊กอินที่อีกทีมหนึ่งดูแลอย่างแข็งขัน ใช้มูลนิธิไม่แสวงหากำไรเพื่อเปิดฉากโจมตีที่วางแผนไว้ล่วงหน้า และเมินเฉยต่อจริยธรรมของโอเพนซอร์ส
• “Automattic ถึงเวลาที่ต้องแข่งขันอย่างเป็นธรรมแล้ว”

ความเห็นของ GN⁺

• การกระทำครั้งนี้ของ Automattic ดูเหมือนเป็นการละทิ้งจริยธรรมอันมีค่าของโอเพนซอร์ส เพื่อทำร้ายคู่แข่ง
• เรื่องนี้เข้าใจได้ง่ายหากลองนึกถึงกรณีที่ Microsoft ซึ่งเป็นเจ้าของ npm เข้ายึดแพ็กเกจยอดนิยมของคู่แข่ง หากเกิดขึ้นจริง ความเชื่อมั่นต่อ npm จะร่วงลงอย่างหนัก
• WP Engine จะดำเนินการทางกฎหมาย และเพียงแค่วางตัวอย่างมีอารยะก็อาจแย่งส่วนแบ่งตลาดจาก Automattic ต่อไปได้
• หวังว่าทั้งสองฝ่ายในข้อพิพาทนี้จะใจเย็นลงและหยุดการต่อสู้ต่อหน้าสาธารณะ ยิ่งความขัดแย้งยืดเยื้อ ผู้สังเกตการณ์ที่เป็นกลางก็จะยิ่งหนีออกจาก WordPress
• ต่อจากนี้ Automattic น่าจะถูกจดจำในฐานะบริษัทแรกที่ข้ามเส้นจริยธรรมในซอฟต์แวร์เว็บโอเพนซอร์ส เพราะใช้มูลนิธิไม่แสวงหากำไรเพื่อเปิดฉากโจมตีที่วางแผนไว้ล่วงหน้าและเพิกเฉยต่อจริยธรรมของโอเพนซอร์ส เพื่อทำร้ายคู่แข่งรายใหญ่ที่สุดของตน
• ถึงเวลาแล้วที่ Automattic จะต้องแข่งขันอย่างเป็นธรรม