知名网盘挂载程序 Alist 可能已被出售并植入恶意代码(更新 fork 仓库)
本帖最后由 =w= 于 2025-6-12 12:22 编辑社区已经 fork 了原仓库,更新下 fork 的仓库情况
fork 的组织:https://github.com/OpenListTeam
fork 的仓库:https://github.com/OpenListTeam/alist
目前来看应该是要改名为 OpenList,新仓库:https://github.com/OpenListTeam/OpenList
以下是原内容:
已经传开了,这里也发个帖子提醒下,最好是完全停止使用,已经有应用授权了就全都取消,可能是卖给了一家叫贵州不够科技的公司,这家公司有收购 hutool
目前没有任何公告或通知有对这件事有官方的说明
可疑的PR,想统计使用者的硬件信息:https://github.com/AlistGo/alist/pull/8633
提交人的理由是「该分支为布局后续AI进行准备。」
官网文档的下载地址被修改到腾讯云:https://github.com/AlistGo/docs/ ... fc8618463b96853b3fc
docker的拉取地址被修改:https://github.com/AlistGo/docs/ ... f2b96173c1f9f748b12
国产软件真就很难让人完全放心
更新主战场:https://github.com/AlistGo/alist/issues/8649
该公司的回应:https://github.com/AlistGo/alist ... ecomment-2961010644
项目所有打包均采用Github Actions,各位开发者如果有不放心可以去核查代码。项目公司化是为了Alist社区的良性发展。最近对项目的修改中可能包含了部分用户觉得涉及到隐私的数据。但是在和各位开发者沟通后。我们觉得代码不十分合适并拒绝了合并。关于文档站的更新中,我们进行了赞助链接的下架。和部分广告的下架。欢迎各位开发者进行代码审核。
该Issues关闭。
谢谢各位对Alist的支持。
还有脸关闭 issue
更新疑似作者本人的回应(不确定真的是本人,可能号都卖掉了)
https://img.imgdd.com/d5b00f21-7c01-4488-88b4-e1b56e7b2ed1.png
文字版:
项目已交由公司运营,之后我会帮忙审查开源版本仓库的代码,以及确保 release 的分发由 ci 自动构建,main 分支已开启分支保护,后续所有的提交都会经过 pr 审核。
被抓到了才发个这样的说明,心里有鬼吗? 部署过一次就没更新过,权当无事发生 应该会有人fork最后一个版本来维护吧
阿里云盘有了webdav之后对我来说也没太大用了,回去删掉 fork还差点 部分token要用原来的官网API Amami_Haruka_ 发表于 2025-6-11 10:29
应该会有人fork最后一个版本来维护吧
阿里云盘有了webdav之后对我来说也没太大用了,回去删掉 ...
api.nn.ci 这个fork了也没用,以后要么关了要么被投毒,审计不了 最后一个被收购前的版本是3.40.0 问下hutool也是有风险的吗?
—— 来自 鹅球 v3.5.99 hutool名声挺好的吧 就是一个搞开发包的公司为啥对网盘开源项目有兴趣
谈不上恶意代码吧,按这个标准,你手机上装的所有app都含有恶意代码了
—— 来自 鹅球 v3.3.96 本帖最后由 就咋的 于 2025-6-11 16:49 编辑
“项目所有打包均采用Github Actions,各位开发者如果有不放心可以去核查代码。项目公司化是为了Alist社区的良性发展。最近对项目的修改中可能包含了部分用户觉得涉及到隐私的数据。但是在和各位开发者沟通后。我们觉得代码不十分合适并拒绝了合并。关于文档站的更新中,我们进行了赞助链接的下架。和部分广告的下架。欢迎各位开发者进行代码审核。”
公司化是为了社区的良性发展,然后给项目添加了烂东西。让开发者审核代码前为什么要加上烂东西,这种操作只能让用户选择逃离。
这个官方回复,逗号、句号都用不对!
----
这两句话“各位开发者如果有不放心可以去核查代码”和“欢迎各位开发者进行代码审核”,可以删除一句。当我看到前一句的时候,已经不放心了,你不搞小动作,需要自证么?
本帖最后由 就咋的 于 2025-6-11 13:21 编辑
zack2012 发表于 2025-6-11 12:18
谈不上恶意代码吧,按这个标准,你手机上装的所有app都含有恶意代码了
—— 来自 鹅球 v3.3.96 ...
手机上的应用,首次打开会有相关的数据收集告知书,如果不同意,可以选择不使用,同意就不是恶意代码。 alist对我来说是鸡肋,偶尔获取下下载直链。
删了了事,改用浏览器插件得了 一直追新,看到消息第一时间删了,也不是什么必需品 刚好用的就是最新的release 3.45.0,如果像飞牛这种系统nas要用网盘的话要怎么用,用docker吗
顺带一提我平常用的一个asmr资源网站(色的不色都有)amsrgay看界面似乎就是一个alist…… mishidexieyu 发表于 2025-6-11 16:14
刚好用的就是最新的release 3.45.0,如果像飞牛这种系统nas要用网盘的话要怎么用,用docker吗
顺带一提我 ...
飞牛支持直接用百度网盘 挂的夸克和阿里云全都是用来转存动画
啥隐私文件都没有,而且部署在矿渣上 现在用的是 mac mini 连电视,用 alist 挂了家里的 win 还有 pikpak 和 迅雷,如果想电视用得爽一点有什么别的方案吗 mishidexieyu 发表于 2025-6-11 16:14
刚好用的就是最新的release 3.45.0,如果像飞牛这种系统nas要用网盘的话要怎么用,用docker吗
顺带一提我 ...
docker版百度网盘或者上kvm跑虚拟机 moyuzhijia 发表于 2025-6-11 16:36
飞牛支持直接用百度网盘
是的 我一直在用 但 夸克和阿里咋办呢 发公告了,这个是社区版https://github.com/AlistTeam 说实话也不想指责开发者,只能说开源确实难,当时虽然买了桌面版,后来还是上服务器,然后302定向了。 本帖最后由 就咋的 于 2025-6-12 15:25 编辑
AlistTeam/alist
https://github.com/AlistTeam/alist
关于 AList 社区 Fork 进程的总结 · Issue #3 · AlistTeam/alist
https://github.com/AlistTeam/alist/issues/3
----
上面的信息已更新至新页面
OpenListTeam/alist
https://github.com/OpenListTeam/alist
OpenList 迁移工作总结 · Issue #6 · OpenListTeam/OpenList
https://github.com/OpenListTeam/OpenList/issues/6
脸宽 发表于 2025-6-11 19:04
说实话也不想指责开发者,只能说开源确实难,当时虽然买了桌面版,后来还是上服务器,然后302定向了。 ...
为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种死妈玩意就别洗了 装了之后没怎么用过 看到这个帖子已经第一时间卸载+unstar+撤销权限了 https://github.com/AlistTeam/alist/issues/11
开源项目的声明 last_order 发表于 2025-6-11 20:30
为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种 ...
建议点开 contributors 页面看看大部分到底是谁贡献的,以及你口中的“社区”都做了什么你指望 alist 挂载的白嫖怪积极贡献开源么。 本帖最后由 0WHan0 于 2025-6-12 00:21 编辑
last_order 发表于 2025-6-11 20:30
为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种 ...
虽然我没用过alist,不过点开contributors页看了一眼,你确定吗。做开源被白嫖就算了还要被倒打一耙贡献量
0WHan0 发表于 2025-6-12 00:17
虽然我没用过alist,不过点开contributors页看了一眼,你确定吗。做开源被白嫖就算了还要被倒打一耙贡 ...
不应该这样去看
现在是除了作者以外的所有贡献者都没同意作者这种做法,所以要算的话,应该是分成作者和其他所有贡献者来计算
如果只看仓库成立到现在,仅看提交的代码量,作者贡献占7成,其他贡献者占3成
但是把时间调整到最近2年,作者的贡献应该是占4成,调整到最近1年,作者的贡献占1成多,继续这样下去作者的贡献肯定是远远不足其他贡献者的
不过我是粗略计算的,没有精确计算
github 的这个排名看的是 commits 数量而不看提交的代码量,同样多的代码分几次提交和只提交1次,前者的贡献排名会更前,后者只会到倒数 0WHan0 发表于 2025-6-12 00:17
虽然我没用过alist,不过点开contributors页看了一眼,你确定吗。做开源被白嫖就算了还要被倒打一耙贡 ...
alist-web,alist-doc等等完善生态的周边项目也要算进去,这些基本上全是社区贡献的。而且他卖项目之前完全不和社区打招呼,到底是谁寒谁的心?
他自己单开个商业项目随他怎么折腾,把alist继续留给社区管理不行么,是没想到后果吗?怕不是知道这样做的商业价值低卖不出价来
不是说开源就要当好人,好人就好被拿钱指着,而是你商业化之前要和社区商量好,而不是偷偷摸摸把社区卖了
论坛助手,iPhone 本来alist部署上也几乎没用,倒是无所谓。 last_order 发表于 2025-6-11 20:30
为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种 ...
实际上代码大多数是作者一个写的。这件事真正的问题是私自商业化半年不进行披露,同时在开源项目里面偷偷的加信息收集代码不进行告知的问题。项目可以卖,但是卖前要发声明和日后的详细商业模式,而不是这样偷偷的搞。 mishidexieyu 发表于 2025-6-11 18:43
是的 我一直在用 但 夸克和阿里咋办呢
阿里有的坛友说支持webdav,直接挂载就行了。或者买成品nas,我的极空间支持阿里和百度 我吃了下瓜,似乎主要问题是,api获取token的部分,是闭源作者自有网站域名上的。
所以fork分支还得开发一段时间?
—— 来自 鹅球 v3.3.96-alpha 阿里飞牛本来也支持 夸克官方说在谈了 不知道啥时候有结果
—— 来自 OnePlus PJZ110, Android 15, 鹅球 v3.5.99 作者吃相不好,但某些白嫖用户在这次事件上更难看
github上义愤填膺问候作者家人 连杯咖啡都没请天天提需求现在站着道德制高点真的好意思啊
—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha 现在issues区还被人用发帖机爆破了...有趣真有趣啊
—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha =w= 发表于 2025-6-12 02:11
不应该这样去看
现在是除了作者以外的所有贡献者都没同意作者这种做法,所以要算的话,应该是分成作者和 ...
alist稳定之后,主体就没怎么变过,新贡献其实就是存储驱动新增和修复了,以后各种fork其实也就是这块了。
—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha 一直在用
感谢原作者和所有开发者
这次吃相难看且对原项目失去信任
已经卸载并且取消授权
等等看后面社区fork的版本情况 我花钱买了桌面版,我可以开始骂了吗
—— 来自 Xiaomi 23117RK66C, Android 15, 鹅球 v3.5.99-alpha 感觉用了这么久alist,除了白嫖别人资源也就搞了个webdav共享
那么有其它简单方法建立局域网下的webdav共享吗?
页:
[1]
2