那天晚上我刚准备关电脑下班,突然TG群里炸了锅。"Alist被卖了!""赶紧停止更新!""又要投毒了!"一条条消息疯狂刷屏。作为一个用了Alist两年的老用户,我手一抖,差点把咖啡洒在键盘上。这款我每天都在用的网盘神器,就这么悄无声息地被卖了?更可怕的是,收购方居然有"投毒"前科?😱 我赶紧打开GitHub,issue区已经被愤怒的用户们"屠版"了,上百条帖子都在质问同一个问题:我们的数据还安全吗?这一夜,整个开源圈都睡不着了…
第一章:49.8K Star的开源明星突然易主
Alist是什么?为什么这么火?
说起Alist,在网盘用户圈里那可是大名鼎鼎 🌟。这是一款基于Go语言开发的开源网盘聚合工具,最牛的地方就是能把40多款主流网盘(阿里云盘、百度网盘、天翼云盘、OneDrive等等)全部整合到一个网页界面里管理。
想象一下,你不用在各个网盘APP之间来回切换,所有文件都能在一个地方统一管理、在线播放视频、跨平台操作,这种体验简直不要太爽!
正因为这个杀手级功能,Alist在GitHub上积累了49.8K的star,Docker镜像下载量更是突破了500万次。无数个人用户和企业都在用它搭建私人云盘系统。
风暴前夜:那些不寻常的信号
2025年4月,一些眼尖的用户开始察觉到不对劲:
- 📝 文档诡异变化:中文文档被大幅度修改,突然冒出一堆QQ群、"VIP技术支持"之类的商业化内容
- 🔗 域名悄然更换:官网从
alist.nn.ci变成了alistgo.com - 👻 原作者人间蒸发:开发者Xhofe突然从所有社交群组退出,不再回复任何问题
- 🚨 GitHub仓库接管:多个陌生账号(alist666、JoaHuang)突然获得了直接提交权限
这一系列操作简直像极了"做贼心虚"的表现。更让人不安的是,有用户发现桌面版下载链接被偷偷换成了腾讯云COS存储,Docker镜像也由新账号重新构建,Hash值完全不同!
真相浮出水面:贵州不够科技接盘
6月11日,事情彻底爆了。经过网友们的"人肉搜索",收购方身份被确认——贵州不够科技有限公司。
| 项目信息 | 变化详情 |
|---|---|
| 原开发者 | Xhofe(已退出所有社群) |
| 收购公司 | 贵州不够科技有限公司 |
| 收购时间 | 约2025年4月 |
| 官网域名 | alist.nn.ci → alistgo.com |
| GitHub Star | 49.8K+ |
| Docker下载 | 500万+ |
这家公司成立于2023年11月,资历尚浅。但网友们挖出了一个惊人发现:这家公司此前还收购了Java工具库Hutool、oneinstack等知名开源项目!
原开发者Xhofe最终在个人频道承认:"项目已交由公司运营,之后我会帮忙审查开源版本仓库的代码。"但网友们根本不买账,有人讽刺道:"会不会连账号都一起卖了?"
第二章:投毒!那些年被收购的开源项目黑历史
金华矜贵:真正的"投毒惯犯"
这里必须要澄清一个被广泛传播的误解:很多人说贵州不够科技收购了lnmp和oneinstack后投毒,但真相是——这锅不该贵州背 ❌。
真正的"投毒黑手"是另一家公司:金华市矜贵网络科技有限公司(浙ICP备2023007596号)。
案例一:LNMP一键安装包投毒事件
2023年9月,国内安全公司发现,知名的LNMP一键安装包被植入了恶意后门程序。
LNMP是Linux系统上最流行的Web环境安装工具之一,被无数站长和开发者使用。这次投毒影响范围之大,可以说是开源圈的一场"核爆"。
投毒细节令人细思极恐:
- 恶意代码隐藏在安装脚本中
- 用户运行安装包时,后门程序会自动下载并执行
- 服务器可能被控制,变成"肉鸡"
- LNMP论坛有用户发帖质疑,但帖子被管理员秒删 🤐
案例二:OneinStack连环投毒
更离谱的是,2023年4月和10月,OneinStack两次被投毒!
根据奇安信威胁情报中心的分析报告,攻击手法如下:
投毒文件:/src/pcre-8.45.tar.gz/pcre-8.45/configure
恶意代码:在configure脚本中植入下载执行命令
触发时机:用户编译安装OneinStack时自动执行
回连地址:http://oneinstack.oneinstack.site/cron.log更诡异的是,LNMP和OneinStack的投毒代码高度相似,甚至使用了相同的木马运行参数 linhkkngf@QWE。安全专家判断:这是同一个攻击组织所为!
金华矜贵的"收购帝国"
网友们扒出,金华矜贵公司不仅收购了这两个项目,还:
- 试图收购秋水逸冰的
lamp.sh(被拒绝) - 同时注册了
lnmp.site和oneinstack.club两个域名用于挂马 - 运营着盗版Mac软件网站
macyy.cn💀 - 竟然还注册了Navicat、LNMP、BetterTouchTool等软件著作权(厚颜无耻到极点)
OneinStack开发者当时的回应颇为无奈:
"金华矜贵作为项目投资商,提供开发资金和服务器资源,但项目管理权在我手中…本次被挂马是因为没及时管理,后续会加强安全措施。"
这话听起来就像"我老婆出轨了,但我会看好她的"——谁信啊?😅
第三章:Alist疑似投毒证据链大起底
证据一:神秘的设备统计代码
6月初,GitHub上出现了一个引发轩然大波的PR(#8633)。
有用户发现,新提交的代码中包含了收集用户操作系统信息的模块,并且要把数据上传到一个私有服务器地址!😱
// 疑似投毒代码片段
function collectDeviceInfo() {
const osInfo = getOperatingSystemDetails();
const deviceId = generateUniqueDeviceId();
sendToServer("https://[私有地址]/collect", {
os: osInfo,
device: deviceId,
timestamp: Date.now()
});
}虽然这个PR后来因为舆论压力被紧急撤回,但这已经足够证明新团队的意图。网友们愤怒地质问:
"你们撤回是因为良心发现?还是因为被抓包了?之前有没有类似代码已经合入了?"
证据二:下载链接指向私人COS
6月9日,账号alist666提交了commit ae7a77d,将所有桌面端安装包的下载地址从GitHub Release改成了腾讯云COS:
原地址:github.com/AlistGo/alist/releases/download/...
新地址:bugo-1301111475.cos.ap-guangzhou.myqcloud.com/...这个操作风险极大:
- 无法验证文件完整性(SHA值不一致)
- COS上的文件可以随时被替换
- 用户可能下载到被篡改的版本
证据三:Docker镜像异常构建
更专业的用户发现,新版Docker镜像由陌生账号构建,镜像Hash与旧版完全不同。
对比如下:
| 项目 | 原版本 | 新版本 |
|---|---|---|
| Docker Hub账号 | xhofe/alist | alist666/alist |
| 镜像数量 | 多版本完整 | 仅1个arm版本 |
| 构建来源 | GitHub CI自动构建 | 来源不明 |
| SHA验证 | 可验证 | 无法验证 |
一位安全研究员评论道:
"供应链攻击最可怕的地方就在于,你以为在用开源软件,实际上运行的是被动了手脚的二进制文件。现在的Alist就像一个定时炸弹。"
证据四:贡献者集体被踢
最让社区寒心的是,数百名GitHub贡献者被批量移除。
这些人曾经无偿为Alist贡献代码、修复bug、翻译文档,现在却连名字都被抹掉了。有人在Twitter上感叹:
"我为Alist贡献了两年代码,提交了30多个PR。现在被一脚踢开,连个招呼都没有。这就是开源贡献者的下场?"
第四章:社区反击:OpenList诞生与自救指南
开源社区的反击:OpenList横空出世
面对Alist的"变质",开源社区迅速做出了反应。仅仅48小时,一个名为OpenList的fork项目就诞生了! 🚀
OpenList团队在项目说明中写道:
"这是一个更加可信且可持续发展的Alist替代方案,旨在避免未来可能出现的闭源、不可控变更或引入不可信代码。"
OpenList的特色:
- ✅ 已对整个仓库追溯6个月的提交记录进行安全审查
- ✅ 正在替换原作者使用的闭源私有API
- ✅ 清除所有存在疑虑的外部链接
- ✅ 确认代码无恶意后通过GitHub Action自动构建
- ✅ 短短几天就获得了2200+ star
项目地址:https://github.com/OpenListTeam/OpenList
给Alist用户的紧急自救指南
如果你正在使用Alist,请立即采取以下措施:
1. 立即停止自动更新 ⚠️
# Docker用户检查compose文件,移除自动更新配置
# 禁用Watchtower等自动更新工具2. 回退到安全版本
- 建议版本:v3.40.0(2024年12月7日发布)
- 这是被公认的"最后干净版本"
- Commit hash: #492b49d
3. 取消网盘授权(最重要!) 🔐
- 进入各个网盘设置
- 撤销对Alist的所有授权
- 重新生成API密钥
- 避免Cookie和Token泄露
4. 迁移到替代方案
| 方案 | 适用场景 | 难度 |
|---|---|---|
| OpenList | 无缝替换Alist | ⭐⭐ |
| Cloudreve | 全功能网盘系统 | ⭐⭐⭐ |
| rclone | 技术用户,命令行操作 | ⭐⭐⭐⭐ |
| ZFile | 轻量级文件列表 | ⭐⭐ |
法律与道德的拷问
这次事件引发了关于开源项目所有权的激烈讨论。
Alist采用的是AGPL-3.0协议,这意味着:
- 项目代码不仅属于原作者
- 社区贡献者也拥有署名权
- 修改后的代码必须继续开源
- 单方面出售可能侵犯贡献者权益
一位开源律师指出:
"原开发者未经贡献者同意就整体出售项目,可能违反了AGPL-3.0协议的署名条款。贡献者可以主张权益,甚至起诉。"
更讽刺的是,收购方试图收集用户数据却未明确告知用途,这已经触碰了《个人信息保护法》的红线。
第五章:开源圈的生存困境与未来出路
独立开源作者:用爱发电能坚持多久?
Alist事件背后,折射出的是独立开源作者的生存困境。
Xhofe维护Alist多年,投入了大量时间精力:
- 独自处理数千个issue
- 支持40多款网盘的适配
- 处理各种复杂的bug
- 维护庞大的用户社区
但作为个人开发者,他能得到什么?
- ❌ 没有稳定收入
- ❌ 没有医疗保险
- ❌ 没有休假时间
- ❌ 还要面对无休止的需求和指责
有网友算了一笔账:
"Alist 49.8K star,Docker下载500万次,按商业软件算,这个用户量价值至少几千万。但开发者能拿到多少?可能连100万都不到。"
这也难怪有开发者会选择出售项目——生存,是最基本的需求。
商业化≠作恶,关键在于透明
其实开源项目商业化本身并无不妥,关键在于方式:
正确的做法:
- ✅ 提前公告,尊重社区
- ✅ 保持开源承诺
- ✅ 提供商业版和社区版双轨运行
- ✅ 贡献者利益不受损
错误的示范(Alist):
- ❌ 偷偷摸摸易主
- ❌ 文档被商业化内容污染
- ❌ 植入数据收集代码
- ❌ 移除贡献者信息
- ❌ 供应链安全存疑
我们能从这场风波中学到什么?
对用户而言:
- 📌 重要数据不要依赖单一开源项目
- 📌 定期备份配置和凭证
- 📌 关注项目动态,警惕异常变化
- 📌 优先选择有透明治理结构的项目
- 📌 支持真正的开源项目(捐赠/付费)
对开发者而言:
- 💡 提前规划商业化路径
- 💡 建立透明的治理机制
- 💡 尊重社区贡献者权益
- 💡 寻找可持续的收入模式
- 💡 警惕"资本收购陷阱"
对开源社区而言:
- 🌐 建立项目健康度评估机制
- 🌐 推动开源协议的完善
- 🌐 支持独立开发者的生存
- 🌐 培养代码审查文化
- 🌐 警惕供应链投毒风险
写在最后:开源的未来在哪里?
夜深了,我关掉电脑屏幕,窗外的城市灯火通明。
Alist事件终将过去,但它给整个开源圈留下的伤痕却需要很长时间才能愈合。那些为开源项目无偿贡献的开发者们,他们的付出值得被尊重,而不是被当成"免费牛马"。
开源的初心是分享与协作,不是资本收割的韭菜地。
好在,OpenList的迅速诞生证明了一点:只要社区还在,开源精神就不会死。那2200颗star,不仅是对一个项目的支持,更是对开源理想的坚守。
或许多年后回头看,这场风波会成为开源史上的一个转折点——它让我们意识到,保护开源项目的可持续发展,和写出优秀的代码一样重要。
而此刻,请记住:
当你下次看到一个开源项目时,如果它真的帮到了你,不妨点个star、提个PR,或者请作者喝杯咖啡。因为每一份支持,都可能让开发者多坚持一天,也可能让他们在资本面前,多一份说"不"的底气。
这,才是开源应有的样子。🌟
参考资料:
- 奇安信威胁情报中心:《近期oneinstack供应链投毒事件分析》
- GitHub Issues: AlistGo/alist #8633
- 蓝点网:《开源网盘应用Alist疑似被卖 请暂停更新》
- OpenList项目文档:https://docs.openlist.team
- V2EX社区讨论:贵州不够科技收购开源软件的目的是什么
