![图片[1]-突发!49.8K Star 开源网盘管理神器 Alist 项目疑似被卖,新东家后台投毒,插入了远程上报代码,v3.45.0 起已引入用户信息上报,抓紧取消授权,勿直接更新!你的网盘可能已成"肉鸡"](https://www.mohe-sc.com/wp-content/uploads/2025/06/紧急通知!Alist-项目疑似被卖,接盘公司代码后台投毒,插入了远程上报代码,v3.45.0-起已引入用户信息上报,抓紧取消授权,勿直接更新!-1024x576.jpg)
就在这几天,开源社区突传爆炸性消息:49.8K Star 的网盘聚合工具 Alist 已被整体出售,接盘方为贵州不够科技,引发社区广泛讨论和担忧。Alist是一个开源项目,它可以将 40 多款主流网盘聚合到一个网页上,进行文件管理、视频播放等操作。事件导火索源于用户发现其官方域名从alist.nn.ci悄然更换为alistgo.com,中文文档被大规模修改,新增商业化内容(如 VIP 技术支持 QQ 群、付费定价策略),而原开发者 Xhofe 突然从所有社群消失且长期沉默。
大量用户在仓库反馈被远程植入了广告,最新版本 v3.45.0 被用户发现自动启用了 用户数据上报机制,并未明确告知用户等行为,多个迹象表明项目可能已被转手,用户需警惕潜在风险。
贵州不够科技此前还收购了Java工具库Hutools、Oneinstack等,鉴于Alist的庞大用户规模,不少用户担心其未来可能会像其它项目一样,被收购后出现供应链投毒等问题。
毕竟正常情况下说如果收购开源项目,完全可以正大光明的发布公告进行说明,而不是偷偷替换组织和开发者然后直接修改各种项目代码。
目前已经有用户疑似因为项目被卖而通过机器人对AlistGo项目主页的issue进行爆破,数量已超300个且仍在增加,当然,贵州不够科技后续可能会清除这些issue,甚至暂时关闭新issue提交。
来自多个方面的消息,大概2025年4月份左右易手。不过原开发者持续更新代码,但对于这件事保持沉默。需要注意,虽然 Alist 是开源项目,但其使用了私有的 API,可能会「不更新就不能用」。
更新:原开发者回应:
项目已交由公司运营,之后我会帮忙审查开源版本仓库的代码,以及确保 release 的分发由 ci 自动构建,main 分支已开启分支保护,后续所有的提交都会经过 pr 审核。
比较搞笑的是,在原开发者回应之后,「不过现在大家质疑变成了“作者不会连自己账号都卖了吧”」
更令用户警觉的是,新提交的代码中出现设备数据收集模块(后因社区抗议被紧急撤回),桌面版下载链接甚至指向腾讯云 COS 存储(因侵权遭封禁)。这些异常操作与开源透明度背道而驰,迅速点燃社区质疑。
社区自救:分叉与防御指南
面对系统性信任崩塌,用户正多线行动:
1、暂缓更新:多家技术媒体呼吁冻结 Alist 版本至 v3.40.0 前,避免供应链投毒风险;
2、分叉重生:核心贡献者xrgzs已发起 Fork 项目(社区称“黑奴起义”),Zfile 等替代方案热度飙升;
3、数据隔离:建议解绑敏感网盘账户,启用独立 API 密钥,减少依赖集中式服务。
AList 目前已被出售, 所有预构建包及第三方 API 均不可信, 本项目为社区 Fork 版本, 现分享临时处置措施供参考.
AList has been sold, and all pre-built packages and third-party APIs are untrustworthy. This project is a community Fork, and temporary measures are here shared for reference.
账号授权风险 | Account
更新: 开源替代进展参见 https://github.com/OpenListTeam/cf-worker-api
由于原作者提供的 API 服务 (alist.nn.ci) 并未开源, 可能已被第三方控制, 导致机密信息泄露, 如有顾虑请考虑解除授权或重新登陆:
Since the API service (alist.nn.ci) provided by the original author is not open-source, it may have been taken over by the third party, leading to potential leakage of sensitive information. If concerned, consider revoking authorization or re-logging in:
- 百度网盘App – 我的 – 设置 – 帐号管理 – 授权管理 – Alist – 解除授权
- 阿里云盘 – 我的 – 右上齿轮 – 隐私设置 – 授权管理 – Alist – 解除授权
- 115APP- 生活 下滑 -账号与安全 – 多端登录管理 – 第三方登录
- 联通云盘 – 在网页查询登录账号 – 以后建议 按照 教程抓包登录
- 一刻相册 (待补充)
- OneDrive 解除授权 https://account.live.com/consent/Manage
预构建包风险 | Pre-built Package
更新: 还在等待前端、翻译项目等就绪才可发布本项目的首个 Release
目前排查暂时未发现核心代码库存在投毒情况, 请尽量从源码拉取编译. 原作者提供的 Docker 镜像以及 Github Release 等提供的预构建包请慎用, 暂时未能验证其安全性 (可能被修改).
No evidence of risk codes has been found in the core repository so far. Please try to compile from source code. Exercise caution when using pre-built packages such as Docker images or Github Releases provided by the original author, as their safety has not been verified (they may have been modified).
本 Fork 的首个 Release 将于近期确认代码库无风险后通过 Github Action 构建发布, Docker 镜像将于确认最终命名后发布.
The first Release of this Fork will be published via Github Action after confirming the code repository is risk-free. Docker images will be released after finalizing the naming.
![百度网盘直链解析彻底解除百度云限速限制[利用IDM工具在线解析网页版]-MOHE素材库-设计行业的乐园,各类素材的矿山!](http://mohe-sc.com/wp-content/uploads/2021/07/baiduwangpan-400x273.png)
![关于本站启用[注册邀请码]的说明-MOHE素材库-设计行业的乐园,各类素材的矿山!](https://www.mohe-sc.com/wp-content/uploads/2022/10/2023_09xI0Dxg_-800x448.png)
请登录后查看评论内容