知名网盘挂载程序 Alist 可能已被出售并植入恶意代码（更新 fork 仓库）

=w=

社区已经 fork 了原仓库，更新下 fork 的仓库情况

fork 的组织：https://github.com/OpenListTeam

fork 的仓库：https://github.com/OpenListTeam/alist

目前来看应该是要改名为 OpenList，新仓库：https://github.com/OpenListTeam/OpenList


以下是原内容：


已经传开了，这里也发个帖子提醒下，最好是完全停止使用，已经有应用授权了就全都取消，可能是卖给了一家叫贵州不够科技的公司，这家公司有收购 hutool

目前没有任何公告或通知有对这件事有官方的说明


可疑的PR，想统计使用者的硬件信息：https://github.com/AlistGo/alist/pull/8633

提交人的理由是「该分支为布局后续AI进行准备。」

官网文档的下载地址被修改到腾讯云：https://github.com/AlistGo/docs/ ... fc8618463b96853b3fc

docker的拉取地址被修改：https://github.com/AlistGo/docs/ ... f2b96173c1f9f748b12


国产软件真就很难让人完全放心


更新主战场：https://github.com/AlistGo/alist/issues/8649

该公司的回应：https://github.com/AlistGo/alist ... ecomment-2961010644

项目所有打包均采用Github Actions，各位开发者如果有不放心可以去核查代码。项目公司化是为了Alist社区的良性发展。最近对项目的修改中可能包含了部分用户觉得涉及到隐私的数据。但是在和各位开发者沟通后。我们觉得代码不十分合适并拒绝了合并。关于文档站的更新中，我们进行了赞助链接的下架。和部分广告的下架。欢迎各位开发者进行代码审核。
该Issues关闭。
谢谢各位对Alist的支持。

还有脸关闭 issue


更新疑似作者本人的回应（不确定真的是本人，可能号都卖掉了）


文字版：
项目已交由公司运营，之后我会帮忙审查开源版本仓库的代码，以及确保 release 的分发由 ci 自动构建，main 分支已开启分支保护，后续所有的提交都会经过 pr 审核。

被抓到了才发个这样的说明，心里有鬼吗？

w2131978

部署过一次就没更新过，权当无事发生

Amami_Haruka_

应该会有人fork最后一个版本来维护吧
阿里云盘有了webdav之后对我来说也没太大用了，回去删掉

yeah20002

fork还差点   部分token要用原来的官网API

=w=

Amami_Haruka_ 发表于 2025-6-11 10:29
应该会有人fork最后一个版本来维护吧
阿里云盘有了webdav之后对我来说也没太大用了，回去删掉 ...

api.nn.ci 这个fork了也没用，以后要么关了要么被投毒，审计不了

Deco

最后一个被收购前的版本是3.40.0

serj005

问下hutool也是有风险的吗？

—— 来自 鹅球 v3.5.99

freshboom

hutool名声挺好的吧 就是一个搞开发包的公司为啥对网盘开源项目有兴趣

zack2012

谈不上恶意代码吧，按这个标准，你手机上装的所有app都含有恶意代码了

—— 来自 鹅球 v3.3.96

就咋的

“项目所有打包均采用Github Actions，各位开发者如果有不放心可以去核查代码。项目公司化是为了Alist社区的良性发展。最近对项目的修改中可能包含了部分用户觉得涉及到隐私的数据。但是在和各位开发者沟通后。我们觉得代码不十分合适并拒绝了合并。关于文档站的更新中，我们进行了赞助链接的下架。和部分广告的下架。欢迎各位开发者进行代码审核。”

公司化是为了社区的良性发展，然后给项目添加了烂东西。让开发者审核代码前为什么要加上烂东西，这种操作只能让用户选择逃离。

这个官方回复，逗号、句号都用不对！

----
这两句话“各位开发者如果有不放心可以去核查代码”和“欢迎各位开发者进行代码审核”，可以删除一句。当我看到前一句的时候，已经不放心了，你不搞小动作，需要自证么？

就咋的

zack2012 发表于 2025-6-11 12:18
谈不上恶意代码吧，按这个标准，你手机上装的所有app都含有恶意代码了

—— 来自 鹅球 v3.3.96 ...

手机上的应用，首次打开会有相关的数据收集告知书，如果不同意，可以选择不使用，同意就不是恶意代码。

chinesepy

alist对我来说是鸡肋，偶尔获取下下载直链。
删了了事，改用浏览器插件得了

bolitao

一直追新，看到消息第一时间删了，也不是什么必需品

mishidexieyu

刚好用的就是最新的release 3.45.0，如果像飞牛这种系统nas要用网盘的话要怎么用，用docker吗

顺带一提我平常用的一个asmr资源网站（色的不色都有）amsrgay看界面似乎就是一个alist……

moyuzhijia

mishidexieyu 发表于 2025-6-11 16:14
刚好用的就是最新的release 3.45.0，如果像飞牛这种系统nas要用网盘的话要怎么用，用docker吗

顺带一提我 ...

飞牛支持直接用百度网盘

宵神乐

挂的夸克和阿里云全都是用来转存动画
啥隐私文件都没有，而且部署在矿渣上

中川夏纪

现在用的是 mac mini 连电视，用 alist 挂了家里的 win 还有 pikpak 和 迅雷，如果想电视用得爽一点有什么别的方案吗

patema

mishidexieyu 发表于 2025-6-11 16:14
刚好用的就是最新的release 3.45.0，如果像飞牛这种系统nas要用网盘的话要怎么用，用docker吗

顺带一提我 ...

docker版百度网盘或者上kvm跑虚拟机

mishidexieyu

moyuzhijia 发表于 2025-6-11 16:36
飞牛支持直接用百度网盘

是的 我一直在用 但 夸克和阿里咋办呢

goranger

发公告了，这个是社区版https://github.com/AlistTeam

脸宽

说实话也不想指责开发者，只能说开源确实难，当时虽然买了桌面版，后来还是上服务器，然后302定向了。

就咋的

AlistTeam/alist
https://github.com/AlistTeam/alist

关于 AList 社区 Fork 进程的总结 · Issue #3 · AlistTeam/alist
https://github.com/AlistTeam/alist/issues/3

----
上面的信息已更新至新页面
OpenListTeam/alist
https://github.com/OpenListTeam/alist

OpenList 迁移工作总结 · Issue #6 · OpenListTeam/OpenList
https://github.com/OpenListTeam/OpenList/issues/6

last_order

脸宽 发表于 2025-6-11 19:04
说实话也不想指责开发者，只能说开源确实难，当时虽然买了桌面版，后来还是上服务器，然后302定向了。 ...

为啥不指责？这项目的代码大部分是社区贡献的，又不是他一个人开发的，他把项目卖了又没给社区分钱，这种死妈玩意就别洗了

colorless

装了之后没怎么用过 看到这个帖子已经第一时间卸载+unstar+撤销权限了

diohanmilton

https://github.com/AlistTeam/alist/issues/11

开源项目的声明

若荼泱

last_order 发表于 2025-6-11 20:30
为啥不指责？这项目的代码大部分是社区贡献的，又不是他一个人开发的，他把项目卖了又没给社区分钱，这种 ...

建议点开 contributors 页面看看大部分到底是谁贡献的，以及你口中的“社区”都做了什么你指望 alist 挂载的白嫖怪积极贡献开源么。

0WHan0

last_order 发表于 2025-6-11 20:30
为啥不指责？这项目的代码大部分是社区贡献的，又不是他一个人开发的，他把项目卖了又没给社区分钱，这种 ...

虽然我没用过alist，不过点开contributors页看了一眼，你确定吗。做开源被白嫖就算了还要被倒打一耙贡献量

=w=

0WHan0 发表于 2025-6-12 00:17
虽然我没用过alist，不过点开contributors页看了一眼，你确定吗。做开源被白嫖就算了还要被倒打一耙贡 ...

不应该这样去看

现在是除了作者以外的所有贡献者都没同意作者这种做法，所以要算的话，应该是分成作者和其他所有贡献者来计算

如果只看仓库成立到现在，仅看提交的代码量，作者贡献占7成，其他贡献者占3成

但是把时间调整到最近2年，作者的贡献应该是占4成，调整到最近1年，作者的贡献占1成多，继续这样下去作者的贡献肯定是远远不足其他贡献者的

不过我是粗略计算的，没有精确计算

github 的这个排名看的是 commits 数量而不看提交的代码量，同样多的代码分几次提交和只提交1次，前者的贡献排名会更前，后者只会到倒数

last_order

0WHan0 发表于 2025-6-12 00:17
虽然我没用过alist，不过点开contributors页看了一眼，你确定吗。做开源被白嫖就算了还要被倒打一耙贡 ...

alist-web，alist-doc等等完善生态的周边项目也要算进去，这些基本上全是社区贡献的。而且他卖项目之前完全不和社区打招呼，到底是谁寒谁的心？

他自己单开个商业项目随他怎么折腾，把alist继续留给社区管理不行么，是没想到后果吗？怕不是知道这样做的商业价值低卖不出价来

不是说开源就要当好人，好人就好被拿钱指着，而是你商业化之前要和社区商量好，而不是偷偷摸摸把社区卖了

论坛助手,iPhone

noneoneone

本来alist部署上也几乎没用，倒是无所谓。

moyuzhijia

last_order 发表于 2025-6-11 20:30
为啥不指责？这项目的代码大部分是社区贡献的，又不是他一个人开发的，他把项目卖了又没给社区分钱，这种 ...

实际上代码大多数是作者一个写的。这件事真正的问题是私自商业化半年不进行披露，同时在开源项目里面偷偷的加信息收集代码不进行告知的问题。项目可以卖，但是卖前要发声明和日后的详细商业模式，而不是这样偷偷的搞。

moyuzhijia

mishidexieyu 发表于 2025-6-11 18:43
是的 我一直在用 但 夸克和阿里咋办呢

阿里有的坛友说支持webdav，直接挂载就行了。或者买成品nas，我的极空间支持阿里和百度

diohanmilton

我吃了下瓜，似乎主要问题是，api获取token的部分，是闭源作者自有网站域名上的。

所以fork分支还得开发一段时间？

—— 来自 鹅球 v3.3.96-alpha

wx40217

阿里飞牛本来也支持 夸克官方说在谈了 不知道啥时候有结果

—— 来自 OnePlus PJZ110, Android 15, 鹅球 v3.5.99

汝者

作者吃相不好，但某些白嫖用户在这次事件上更难看
github上义愤填膺问候作者家人 连杯咖啡都没请天天提需求现在站着道德制高点真的好意思啊

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha

汝者

现在issues区还被人用发帖机爆破了...有趣真有趣啊

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha

汝者

=w= 发表于 2025-6-12 02:11
不应该这样去看

现在是除了作者以外的所有贡献者都没同意作者这种做法，所以要算的话，应该是分成作者和 ...

alist稳定之后，主体就没怎么变过，新贡献其实就是存储驱动新增和修复了，以后各种fork其实也就是这块了。

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha

第七日魔人

一直在用
感谢原作者和所有开发者
这次吃相难看且对原项目失去信任
已经卸载并且取消授权
等等看后面社区fork的版本情况

minamichisei

我花钱买了桌面版，我可以开始骂了吗

—— 来自 Xiaomi 23117RK66C, Android 15, 鹅球 v3.5.99-alpha

哈尔路尼亚

感觉用了这么久alist，除了白嫖别人资源也就搞了个webdav共享
那么有其它简单方法建立局域网下的webdav共享吗？