Тихая эрозия: что происходит с bitwarden на самом деле
Заметили, что ваш менеджер паролей вдруг стал вести себя немного иначе? Не баг — просто незаметные изменения.
Смена караула без объявления войны
В марте я наткнулся на пост в блоге ByteHaven — автор рассказывал, как Bitwarden поднял цену на Premium в два раза. Звучит как новость? Вот проблема: цену спрятали внутрь анонса новой функции. Без отдельного уведомления пользователям дали 15 дней до продления подписки.
В феврале генеральный директор Майкл Крэнделл тихо перешёл в консультационную роль — узнать об этом можно было только через LinkedIn, официального анонса не было.
Нового CEO зовут Майкл Салливан. На его странице в LinkedIn первым делом написано про опыт в слияниях и поглощениях, работу с частными инвестиционными фондами. В 2019 году он руководил продажей Acquia за миллиард долларов фонду Vista Equity Partners, в 2021-м привлёк миллиардные инвестиции для Insightsoftware от Hg Capital.
Если совсем просто: это человек, которого нанимают сделать компанию привлекательной для продажи.
Финансовый директор тоже ушёл в апреле, его заменил бывший CEO InVision Майкл Шенкман.
А вот Кайл Спеаррин — тот самый разработчик, который начал строить Bitwarden в 2015 году как хобби-проект именно потому что боялся за будущее LastPass после смены владельца — остался техническим директором.
Ирония почти физически ощущается.
«всегда бесплатно» исчезло с главной страницы
Фраза «Always free» пропала с персональной страницы тарифов примерно в середине апреля. Бесплатный план никуда не делся — но обещание убрали.
Изменились и корпоративные ценности компании:
Было: GRIT = Gratitude, Responsibility, Inclusion, Transparency
Стало: GRIT = Gratitude, Responsibility, Innovation, Trust
Вместо «инклюзивности» и «прозрачности» теперь «инновации» и «доверие». Обещаете прозрачность и убираете слово «прозрачность» из своих ценностей? Интересный выбор сообщения аудитории.
Никаких пресс-релизов об этом не было.
Единственное изменение обнаружилось случайно: старый пост Крэнделла 2022 года тихо отредактировали внутри статьи — список GRIT обновили на новый формат, но абзац с объяснением значений остался старым со словами про Inclusion и Transparency. Теперь один пост противоречит сам себе внутри одного абзаца.
ПАТТЕРН ТИХОЙ ЭРОЗИИ ДОВЕРИЯ
─────────────────────────────
┌─────────────────────────────────┐
│ Построить доверие │
└───────────────┬─────────────────┘
▼
┌─────────────────────────────────┐
│ Создать зависимость │
└───────────────┬─────────────────┘
▼
┌─────────────────────────────────┐ ┌──────────────────┐
│ Тихо менять условия │───▶│ Без громких │
└───────────────┬─────────────────┘ │ объявлений │
▼ └──────────────────┘
┌─────────────────────────────────┐ ┌──────────────────┐
│ Пользователи замечают │◀───│ Когда уже поздно │
└─────────────────────────────────┘ └──────────────────┘
Шаг цены ──▶│ спрятан в анонс функций
Смена CEO ──▶│ только через LinkedIn
Ценности ──▶│ правки старых постов
Free tier ──▶│ слово исчезло тихо
Почему это важно именно сейчас?
Автор поста уже перешёл на Vaultwarden — это форк серверной части Bitwarden для самостоятельного хостинга. Закрыл свой аккаунт в облаке Bitwarden ещё весной.
Для него это не вопрос безопасности личных паролей — он документирует паттерн:
Строим доверие → создаём зависимость → тихо меняем правила игры
Автор проводит параллель с GitHub: открытая платформа, обещания независимости, годы тихого размывания, затем третья фаза — ограничения для бесплатных аккаунтов.
Для тех, кто остаётся на облачном Bitwarden, это однозначный повод задуматься.
Что делать тем, кто на vaultwarden?
Самостоятельный хостинг работает пока потому, что клиенты Bitwarden имеют открытый код, а API сервера публичный. Vaultwarden реализует этот API, и официальные приложения не видят разницы между ним и оригинальным сервером. Breaking point может наступить, если:
- Bitwarden перестанет публиковать клиенты как open source
- Ограничат API для сторонних серверов
Аргумент за безопасность self-hosted решения: это реальная бизнес-функция для Enterprise-клиентов, которая приносит деньги, значит убивать её невыгодно. Контраргумент: корпорации покупают официальный стек серверов от Bitwarden напрямую. Vaultwarden существует в пространстве, которое компания терпела, но никогда не поддерживала активно. Если расчёт изменится — толерантность закончится без объявления. Просто позволят API дрейфовать, пока совместимость сломается сама по себе.
Не катастрофа, но риск есть всегда. Когда пост стал вирусным, фраза Always free тихо вернулась обратно на страницу Pricing — сделайте выводы сами.
УРОВНИ РИСКА ДЛЯ SELF-HOSTED ПОЛЬЗОВАТЕЛЕЙ
═══════════════════════════════════════
Низкий ──▶ Клиенты остаются открытыми
▶ API стабильно
▶ Форк существует
Средний ──▶ API дрейфует
▶ Совместимость ломается постепенно
Высокий ──▶ Клиенты становятся закрытыми
▶ Форк нужен быстро
Защита ──▶ Веб-версия работает через браузер
▶ Даже если приложения сломаются
▶ Доступ сохраняется
Apache 2.0 license = форк возможен всегда
нужно только переименование
суть та же
Итого
Bitwarden сейчас напоминает историю LastPass, которую многие уже проходили. Другой состав руководителей, другие слова про ценности, но паттерн один: строишь инструмент, которым люди пользуются каждый день, потом приходят люди, чья задача — сделать компанию привлекательной для продажи.
И начинается тихое движение к моменту, когда условия перестают быть теми, за которые ты платил или которым доверял.
Если вы используете облачный аккаунт Bitwarden, сейчас хороший момент хотя бы изучить альтернативы: Vaultwarden, Passkey или аппаратные ключи безопасности.
Не обязательно мигрировать прямо сейчас. Но знать, что есть план Б, всегда полезно, когда речь о паролях, которые открывают доступ ко всему цифровому миру человека.
P. S. после публикации поста фраза Always free вернулась на страницу Pricing. Видимо, обратная связь работает даже когда молчание. Plan A был услышан. Теперь вопрос только один — надолго ли.
Ссылки
- The quiet renovation at Bitwarden — исходный разбор тихих изменений в Bitwarden
Дмитрий Полухин — продуктовый дизайнер. Пишу про разработку, AI и дизайн интерфейсов. Обо мне, контакты и профили.