最新更新

alist 社区分叉已经将名称更改为 Openlist
https://github.com/OpenListTeam/OpenList

Alist 项目出售风波：社区分叉自救，守护开源净土

在 2025 年 6 月短短几天里，原生于个人开发者 Xhofe 的开源网盘项目 Alist 突然宣告易主——新主人是一家此前鲜有名声、却屡被指控“供应链投毒”的贵州本土公司。不透明的交易过程、仓促而缺乏审计的代码改动，连同官方社群的大规模“封口”操作，引爆了中文开发者圈对开源安全的集体焦虑；社区很快自发硬分叉，组建 AlistTeam（暂名）接管维护。本文梳理事件来龙去脉、列出关键风险，并给出安全迁移与支持新分叉的实操指南。

事件时间线

收购方背景与争议

• 贵州不够科技有限公司（Bugotech）被曝光曾先后收购 Hutool、Oneinstack、LNMP 等知名开源项目，随后植入广告与遥测代码，引发多起安全警报。
• GitHub 讨论区甚至整理出该公司法人、地址、联系方式与相似邮箱，一并贴出供“社会性搜索”。
• 多位开发者将其比作“开源收割机”，担忧其商业化操作会把 Alist 推向闭源、捆绑服务甚至恶意挖矿。

可疑改动与潜在风险

1. 文档和界面植入灰色推广

   • 新 README 与官网出现微信二维码、付费代挂链接，被质疑“钓鱼”。

2. 预编译二进制缺乏链上校验

   • Docker Hub 镜像由新公司私有账号发布；GPG 签名与之前断链，无法验证。

3. 代码层面悄然添加系统信息统计

   • commit stats/os-info 在无审查情况下合并，可上传宿主 CPU/OS 版本。

4. 闭源 API 依赖

   • Alist 核心的 alist.nn.ci 授权服务一直未公开代码，如今服务端完全由收购方托管，存在泄露网盘 Token 风险。

社区的自救：硬分叉 AlistTeam

• 11 日晚，志愿者发起 AlistTeam/alist，初步目标是 回滚至 3.30 并移除可疑改动；后续将更名并更换 Logo。
• Right 论坛与 V2EX 置顶帖给出迁移脚本，帮助用户一键把配置与缓存导入新分叉。
• GitHub discussion 区征集新名称，呼声最高的包括 Afree, LiberList、OpenList 等。

我该如何安全迁移？

1. 停更官方仓库

   • 锁定在 v3.30.5（最后由 Xhofe 亲签标签）或直接切换到 AlistTeam 分叉。

2. 撤销网盘授权

   • 在阿里云盘、OneDrive、Google Drive 后台删除旧 OAuth/应用授权，防止 Token 滥用。

3. 自行构建或使用社区镜像

   • 使用 AlistTeam GitHub Actions 生成的二进制／Docker（含 reproducible build），或本地 go build。

4. 监控依赖

   • 对依赖的第三方库运行 go mod vendor && gomod-verify；对生产环境启用 SELinux/AppArmor，限制网络外连。

开源治理的几点反思

• 赞助与商业化并非原罪
  但缺乏透明度的闭门交易极易伤害社区信任，最终让项目“人财两空”。
• 单点托管=单点失败
  未开源的云端授权服务与发行渠道，让收购方可以瞬间掌控用户资产；分布式签名与多维护者制度应成为开源基建标配。
• 社区共治机制要提前设计
  不要等“卖身”才想起 Fork；在项目健康阶段就应设立核心委员会、签署 DCO/CLA、启用多重权限和资金信托。

结语：支持社区，守护自由

Alist 的风波再次提醒我们：代码自由不等于永远安全。真正的安全来自可验证的透明、活跃而多元的社区，以及开发者与用户之间双向的信任。
如果你仍在使用 Alist，请立即审计依赖、关注 AlistTeam 进展，并在力所能及的范围内贡献文档、代码或赞助。保护开源，从一次 Fork、一次审计、一行 PR 开始。