f

紧急警告：立即停止 AList 自动更新！请警惕潜在的供应链投毒风险！

紧急通知所有 AList 用户：请您立即停止 AList 的自动更新功能！

最近，开源项目 AList 被收购的消息在社区中引发了轩然大波，并带来了重大的安全隐患。AList 作为一款广受欢迎的网盘聚合管理工具，支持 40+ 主流网盘，提供跨平台文件管理和在线视频播放等功能，其 Docker 镜像下载量已超 500 万次，拥有庞大的用户基数。其核心功能在于能够将绝大多数网盘挂载为 WebDAV 到本地，实现像操作本地硬盘一样的便捷体验，尤其对于不限速的网盘，可直接在线观看影音内容。 为什么您需要立刻停止自动更新？

此次事件最令人担忧的核心问题是供应链投毒（Supply Chain Poisoning）。当一个开源项目被出售或更换所有权后，新的控制者可能在未来的更新中植入恶意代码，从而对用户造成以下严重威胁：

窃取您的数据： 包括登录凭证、文件信息，甚至您设备上的其他敏感数据。

控制您的设备： 您的服务器或设备可能被远程控制，用于非法活动。

植入后门： 新版本可能包含难以察觉的后门，允许恶意访问您的系统。

进行勒索或破坏： 您的数据可能被加密勒索，或系统遭到恶意破坏。

鉴于 AList 需要访问大量的网盘敏感信息（如 Token、Cookie），一旦其更新被植入恶意代码，您的所有云存储账户都可能面临被盗或文件泄露的风险。 收购方：贵州不够科技有限公司

AList 的收购方为贵州不够科技有限公司（下称“不够科技”）。该公司此前曾收购 Hutool、LNMP 等知名开源项目，并因“投毒”（植入恶意代码）和闭源争议引发社区的广泛警惕。历史记录表明，不够科技在收购项目后，有过植入后门程序或用户数据收集代码的行为。 关键时间线与争议焦点

此次 AList 事件并非一蹴而就，而是经过了一系列隐蔽操作，最终在用户和社区的质疑下浮出水面：

时间

事件

说明

2024-10-14

新域名 alistgo.com 注册

收购计划启动的早期迹象。

2024-11-12

官方文档域名替换为 alistgo.com

未公告说明，社区开始猜测项目易主。

2024-12-07

GitHub 账号 alist666 接管仓库，修改 README 重定向至新域名

原开发者博客链接被删除，项目控制权转移。

2025-05-29

提交 PR #8633（收集用户系统信息并上报）

存在数据泄露风险，后因舆论压力被关闭。 该 PR 试图收集用户服务器配置信息并上传至私有地址，尽管被撤回，但此前可能已有类似代码合入。

2025-06-10

用户发 Issue #8649 质疑项目被卖，官网 404、文档商业化修改

事件引爆，GitHub 热榜讨论激增。

2025-06-11

原开发者 Xhofe 在 TG 频道承认“项目交由公司运营”

未透露交易细节，引发账号连带出售猜测。

2025-06-12

123Pan 关于暂停第三方挂载软件 Alist 的通知

123 云盘官方发布公告，暂停了第三方挂载软件 Alist 的服务，进一步证实了事件的严重性。

2025-06-14

外网无法访问 alistgo.com

主页疑似遭网友爆破，因此屏蔽了外网 IP。

争议焦点集中在：

隐蔽操作与信任崩塌： 项目易主无官方公告，文档被大幅修改为商业化内容。原开发者 Xhofe 突然退出所有社交群组且失联，加剧社区疑虑。这种“偷偷卖”的行为被社区视为对开源精神和用户信任的背叛。

供应链投毒风险： 不够科技的历史劣迹表明其有植入恶意代码的前科，结合 AList 试图收集用户服务器配置信息的 PR #8633，这种风险并非空穴来风。

法律与合规问题： 原开发者单方面出售含社区贡献者代码的项目，可能侵犯贡献者署名权（AGPL-3.0 协议通常要求保留署名），被指责将“开源贡献者变为免费牛马”。强制收集用户数据未说明目的，也违反《个人信息保护法》。

用户数据安全威胁： AList 涉及网盘 Token、Cookie 等敏感信息，一旦被恶意收集，可能导致网盘账户被盗或文件泄露。

社区反应与应对建议

社区对此事件反应强烈，GitHub Issues 涌入大量批评。新维护者 alist666 删除质疑帖并踢出反对者，进一步激化了矛盾。

为了保护您的数据安全，请立即采取以下措施：

1. 立即行动：

   暂停更新/部署新版 AList： 立即停止所有 AList 的自动更新。如果您是 Docker 用户，请检查 docker-compose.yml 或 Docker 命令，确保没有设置自动更新策略，并禁用如 Watchtower 等工具对 AList 容器的自动更新。

   降级至安全版本： 建议降级至 v3.40.0 或更早的版本，或完全停止使用。

   取消各网盘对 AList 的授权： 这是最关键的一步，务必解除 AList 对您所有已挂载网盘的授权。

   百度网盘： 我的 → 设置 → 账号管理 → 授权管理 → Alist → 解除授权
   
   阿里云盘： 阿里盘登录与授权 → 我的 → 鼠标上角齿轮 → 隐私设置 → 授权管理 → Alist → 解除授权
   
   115 盘： App → 生活 → 账号与安全 → 第三方登录管理
   
   联通云盘： 登陆网页版，查看登录历史，手动删除 Alist 授权
   
   一刻相册： 头像 → 应用设置 → 账号管理 → 授权管理
   
   Google 网盘 / 相册： Google 账号中心 → 安全性 → 第三方应用 → 移除 Alist 授权
   
   Dropbox： 设置 → 安全 → 应用 → 移除 Alist
   
   OneDrive / Microsoft： 访问 account.live.com/consent/Manage 并移除 Alist 授权

2. 长期策略：

   监控服务器外联流量： 定期排查服务器的异常网络请求，警惕未经授权的数据传输。

   迁移至社区分支/替代方案：

   OpenList Team： 该团队已创建社区维护分支，旨在构建一个更可信、可持续的 AList 开源替代方案，清除潜在恶意代码。
   
   替代工具： 考虑使用其他成熟的网盘聚合工具或媒体服务器，例如：
   
       NextList/Nlist (AList 分支)
   
       Plex (媒体服务器)
   
       Emby (媒体服务器)
   
       devld/go-drive
   
       CloudDrive
   
       ZFile

   关注依赖风险： 如果您使用了基于 AList 的衍生项目（如“小雅”资源库），也需要同步评估其安全性。

对开源与变现的思考

此次 AList 事件也引发了社区对开源项目、信任与商业变现的深刻反思。

有网友指出，作者出售自己的项目本身不违法，但“悄咪咪卖给黑料爆表的公司让人数落也合情合理”，这就像“你可以施粥，但你不能悄咪咪掺屎”。

也有观点认为，开源项目的灵魂在于社区，而代码只是载体。开源是凭借道德、信任和责任感建立起来的，一旦信任崩塌，项目便难以为继。

“不要有开源滤镜，开源并不等于高质量、免费、安全。”这句话深刻地提醒着我们，在使用任何开源产品时，都应保持审慎和警惕。

对于 AList 这种高度依赖网盘 API 的工具，其稳定性和安全性本身就面临挑战，因为网盘服务商的 API 随时可能变更。

总结

此次 AList 事件为所有开源项目用户敲响了警钟。在任何消息被官方证实或彻底澄清之前，安全第一！请立即停止自动更新，并根据以上建议保护您的个人数据和隐私。同时，这也促使我们重新思考开源项目的可持续发展、透明度以及用户信任的重要性。