找回密码
 立即注册
搜索
查看: 6581|回复: 68

[软件] 知名网盘挂载程序 Alist 可能已被出售并植入恶意代码(更新 fork 仓库)

[复制链接]
     
发表于 2025-6-11 10:23 | 显示全部楼层 |阅读模式
本帖最后由 =w= 于 2025-6-12 12:22 编辑

社区已经 fork 了原仓库,更新下 fork 的仓库情况

fork 的组织:https://github.com/OpenListTeam

fork 的仓库:https://github.com/OpenListTeam/alist

目前来看应该是要改名为 OpenList,新仓库:https://github.com/OpenListTeam/OpenList


以下是原内容:


已经传开了,这里也发个帖子提醒下,最好是完全停止使用,已经有应用授权了就全都取消,可能是卖给了一家叫贵州不够科技的公司,这家公司有收购 hutool

目前没有任何公告或通知有对这件事有官方的说明


可疑的PR,想统计使用者的硬件信息:https://github.com/AlistGo/alist/pull/8633

提交人的理由是「该分支为布局后续AI进行准备。」

官网文档的下载地址被修改到腾讯云:https://github.com/AlistGo/docs/ ... fc8618463b96853b3fc

docker的拉取地址被修改:https://github.com/AlistGo/docs/ ... f2b96173c1f9f748b12


国产软件真就很难让人完全放心


更新主战场:https://github.com/AlistGo/alist/issues/8649

该公司的回应:https://github.com/AlistGo/alist ... ecomment-2961010644

项目所有打包均采用Github Actions,各位开发者如果有不放心可以去核查代码。项目公司化是为了Alist社区的良性发展。最近对项目的修改中可能包含了部分用户觉得涉及到隐私的数据。但是在和各位开发者沟通后。我们觉得代码不十分合适并拒绝了合并。关于文档站的更新中,我们进行了赞助链接的下架。和部分广告的下架。欢迎各位开发者进行代码审核。
该Issues关闭。
谢谢各位对Alist的支持。


还有脸关闭 issue


更新疑似作者本人的回应(不确定真的是本人,可能号都卖掉了)


文字版:
项目已交由公司运营,之后我会帮忙审查开源版本仓库的代码,以及确保 release 的分发由 ci 自动构建,main 分支已开启分支保护,后续所有的提交都会经过 pr 审核。

被抓到了才发个这样的说明,心里有鬼吗?
回复

使用道具 举报

     
发表于 2025-6-11 10:27 | 显示全部楼层
部署过一次就没更新过,权当无事发生
回复

使用道具 举报

     
发表于 2025-6-11 10:29 来自手机 | 显示全部楼层
应该会有人fork最后一个版本来维护吧
阿里云盘有了webdav之后对我来说也没太大用了,回去删掉
回复

使用道具 举报

发表于 2025-6-11 10:58 | 显示全部楼层
fork还差点   部分token要用原来的官网API
回复

使用道具 举报

     
 楼主| 发表于 2025-6-11 11:03 | 显示全部楼层
Amami_Haruka_ 发表于 2025-6-11 10:29
应该会有人fork最后一个版本来维护吧
阿里云盘有了webdav之后对我来说也没太大用了,回去删掉 ...

api.nn.ci 这个fork了也没用,以后要么关了要么被投毒,审计不了
回复

使用道具 举报

     
发表于 2025-6-11 11:11 | 显示全部楼层
最后一个被收购前的版本是3.40.0
回复

使用道具 举报

     
发表于 2025-6-11 11:30 来自手机 | 显示全部楼层
问下hutool也是有风险的吗?

—— 来自 鹅球 v3.5.99
回复

使用道具 举报

     
发表于 2025-6-11 11:35 | 显示全部楼层
hutool名声挺好的吧 就是一个搞开发包的公司为啥对网盘开源项目有兴趣
回复

使用道具 举报

     
发表于 2025-6-11 12:18 来自手机 | 显示全部楼层
谈不上恶意代码吧,按这个标准,你手机上装的所有app都含有恶意代码了

—— 来自 鹅球 v3.3.96
回复

使用道具 举报

     
发表于 2025-6-11 13:06 | 显示全部楼层
本帖最后由 就咋的 于 2025-6-11 16:49 编辑

“项目所有打包均采用Github Actions,各位开发者如果有不放心可以去核查代码。项目公司化是为了Alist社区的良性发展。最近对项目的修改中可能包含了部分用户觉得涉及到隐私的数据但是在和各位开发者沟通后我们觉得代码不十分合适并拒绝了合并。关于文档站的更新中,我们进行了赞助链接的下架和部分广告的下架。欢迎各位开发者进行代码审核。”

公司化是为了社区的良性发展,然后给项目添加了烂东西。让开发者审核代码前为什么要加上烂东西,这种操作只能让用户选择逃离。

这个官方回复,逗号、句号都用不对!

----
这两句话“各位开发者如果有不放心可以去核查代码”和“欢迎各位开发者进行代码审核”,可以删除一句。当我看到前一句的时候,已经不放心了,你不搞小动作,需要自证么?
回复

使用道具 举报

     
发表于 2025-6-11 13:19 | 显示全部楼层
本帖最后由 就咋的 于 2025-6-11 13:21 编辑
zack2012 发表于 2025-6-11 12:18
谈不上恶意代码吧,按这个标准,你手机上装的所有app都含有恶意代码了

—— 来自 鹅球 v3.3.96 ...

手机上的应用,首次打开会有相关的数据收集告知书,如果不同意,可以选择不使用,同意就不是恶意代码。
回复

使用道具 举报

     
发表于 2025-6-11 13:23 | 显示全部楼层
alist对我来说是鸡肋,偶尔获取下下载直链。
删了了事,改用浏览器插件得了
回复

使用道具 举报

     
发表于 2025-6-11 14:02 | 显示全部楼层
一直追新,看到消息第一时间删了,也不是什么必需品
回复

使用道具 举报

     
发表于 2025-6-11 16:14 来自手机 | 显示全部楼层
刚好用的就是最新的release 3.45.0,如果像飞牛这种系统nas要用网盘的话要怎么用,用docker吗

顺带一提我平常用的一个asmr资源网站(色的不色都有)amsrgay看界面似乎就是一个alist……
回复

使用道具 举报

     
发表于 2025-6-11 16:36 | 显示全部楼层
mishidexieyu 发表于 2025-6-11 16:14
刚好用的就是最新的release 3.45.0,如果像飞牛这种系统nas要用网盘的话要怎么用,用docker吗

顺带一提我 ...

飞牛支持直接用百度网盘
回复

使用道具 举报

     
发表于 2025-6-11 17:05 | 显示全部楼层
挂的夸克和阿里云全都是用来转存动画
啥隐私文件都没有,而且部署在矿渣上
回复

使用道具 举报

     
发表于 2025-6-11 17:07 | 显示全部楼层
现在用的是 mac mini 连电视,用 alist 挂了家里的 win 还有 pikpak 和 迅雷,如果想电视用得爽一点有什么别的方案吗
回复

使用道具 举报

     
发表于 2025-6-11 17:36 | 显示全部楼层
mishidexieyu 发表于 2025-6-11 16:14
刚好用的就是最新的release 3.45.0,如果像飞牛这种系统nas要用网盘的话要怎么用,用docker吗

顺带一提我 ...

docker版百度网盘或者上kvm跑虚拟机
回复

使用道具 举报

     
发表于 2025-6-11 18:43 来自手机 | 显示全部楼层
moyuzhijia 发表于 2025-6-11 16:36
飞牛支持直接用百度网盘

是的 我一直在用 但 夸克和阿里咋办呢
回复

使用道具 举报

     
发表于 2025-6-11 18:51 | 显示全部楼层
发公告了,这个是社区版https://github.com/AlistTeam
回复

使用道具 举报

     
发表于 2025-6-11 19:04 | 显示全部楼层
说实话也不想指责开发者,只能说开源确实难,当时虽然买了桌面版,后来还是上服务器,然后302定向了。
回复

使用道具 举报

     
发表于 2025-6-11 19:59 | 显示全部楼层
本帖最后由 就咋的 于 2025-6-12 15:25 编辑

AlistTeam/alist
https://github.com/AlistTeam/alist

关于 AList 社区 Fork 进程的总结 · Issue #3 · AlistTeam/alist
https://github.com/AlistTeam/alist/issues/3

----
上面的信息已更新至新页面
OpenListTeam/alist
https://github.com/OpenListTeam/alist

OpenList 迁移工作总结 · Issue #6 · OpenListTeam/OpenList
https://github.com/OpenListTeam/OpenList/issues/6
回复

使用道具 举报

     
发表于 2025-6-11 20:30 | 显示全部楼层
脸宽 发表于 2025-6-11 19:04
说实话也不想指责开发者,只能说开源确实难,当时虽然买了桌面版,后来还是上服务器,然后302定向了。 ...

为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种死妈玩意就别洗了
回复

使用道具 举报

     
发表于 2025-6-11 22:07 | 显示全部楼层
装了之后没怎么用过 看到这个帖子已经第一时间卸载+unstar+撤销权限了
回复

使用道具 举报

     
发表于 2025-6-11 23:22 | 显示全部楼层
回复

使用道具 举报

     
发表于 2025-6-12 00:03 来自手机 | 显示全部楼层
last_order 发表于 2025-6-11 20:30
为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种 ...

建议点开 contributors 页面看看大部分到底是谁贡献的,以及你口中的“社区”都做了什么你指望 alist 挂载的白嫖怪积极贡献开源么。
回复

使用道具 举报

     
发表于 2025-6-12 00:17 | 显示全部楼层
本帖最后由 0WHan0 于 2025-6-12 00:21 编辑
last_order 发表于 2025-6-11 20:30
为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种 ...

虽然我没用过alist,不过点开contributors页看了一眼,你确定吗。做开源被白嫖就算了还要被倒打一耙贡献量


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

     
 楼主| 发表于 2025-6-12 02:11 | 显示全部楼层
0WHan0 发表于 2025-6-12 00:17
虽然我没用过alist,不过点开contributors页看了一眼,你确定吗。做开源被白嫖就算了还要被倒打一耙贡 ...

不应该这样去看

现在是除了作者以外的所有贡献者都没同意作者这种做法,所以要算的话,应该是分成作者和其他所有贡献者来计算

如果只看仓库成立到现在,仅看提交的代码量,作者贡献占7成,其他贡献者占3成

但是把时间调整到最近2年,作者的贡献应该是占4成,调整到最近1年,作者的贡献占1成多,继续这样下去作者的贡献肯定是远远不足其他贡献者的

不过我是粗略计算的,没有精确计算

github 的这个排名看的是 commits 数量而不看提交的代码量,同样多的代码分几次提交和只提交1次,前者的贡献排名会更前,后者只会到倒数
回复

使用道具 举报

     
发表于 2025-6-12 08:20 | 显示全部楼层
0WHan0 发表于 2025-6-12 00:17
虽然我没用过alist,不过点开contributors页看了一眼,你确定吗。做开源被白嫖就算了还要被倒打一耙贡 ...

alist-web,alist-doc等等完善生态的周边项目也要算进去,这些基本上全是社区贡献的。而且他卖项目之前完全不和社区打招呼,到底是谁寒谁的心?

他自己单开个商业项目随他怎么折腾,把alist继续留给社区管理不行么,是没想到后果吗?怕不是知道这样做的商业价值低卖不出价来

不是说开源就要当好人,好人就好被拿钱指着,而是你商业化之前要和社区商量好,而不是偷偷摸摸把社区卖了

论坛助手,iPhone
回复

使用道具 举报

     
发表于 2025-6-12 08:28 | 显示全部楼层
本来alist部署上也几乎没用,倒是无所谓。
回复

使用道具 举报

     
发表于 2025-6-12 09:27 | 显示全部楼层
last_order 发表于 2025-6-11 20:30
为啥不指责?这项目的代码大部分是社区贡献的,又不是他一个人开发的,他把项目卖了又没给社区分钱,这种 ...

实际上代码大多数是作者一个写的。这件事真正的问题是私自商业化半年不进行披露,同时在开源项目里面偷偷的加信息收集代码不进行告知的问题。项目可以卖,但是卖前要发声明和日后的详细商业模式,而不是这样偷偷的搞。
回复

使用道具 举报

     
发表于 2025-6-12 09:29 | 显示全部楼层
mishidexieyu 发表于 2025-6-11 18:43
是的 我一直在用 但 夸克和阿里咋办呢

阿里有的坛友说支持webdav,直接挂载就行了。或者买成品nas,我的极空间支持阿里和百度
回复

使用道具 举报

     
发表于 2025-6-12 09:40 来自手机 | 显示全部楼层
我吃了下瓜,似乎主要问题是,api获取token的部分,是闭源作者自有网站域名上的。

所以fork分支还得开发一段时间?

—— 来自 鹅球 v3.3.96-alpha
回复

使用道具 举报

     
发表于 2025-6-12 09:45 来自手机 | 显示全部楼层
阿里飞牛本来也支持 夸克官方说在谈了 不知道啥时候有结果

—— 来自 OnePlus PJZ110, Android 15, 鹅球 v3.5.99
回复

使用道具 举报

     
发表于 2025-6-12 10:05 来自手机 | 显示全部楼层
作者吃相不好,但某些白嫖用户在这次事件上更难看
github上义愤填膺问候作者家人 连杯咖啡都没请天天提需求现在站着道德制高点真的好意思啊

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha
回复

使用道具 举报

     
发表于 2025-6-12 10:09 来自手机 | 显示全部楼层
现在issues区还被人用发帖机爆破了...有趣真有趣啊

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha
回复

使用道具 举报

     
发表于 2025-6-12 10:14 来自手机 | 显示全部楼层
=w= 发表于 2025-6-12 02:11
不应该这样去看

现在是除了作者以外的所有贡献者都没同意作者这种做法,所以要算的话,应该是分成作者和 ...

alist稳定之后,主体就没怎么变过,新贡献其实就是存储驱动新增和修复了,以后各种fork其实也就是这块了。

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha
回复

使用道具 举报

     
发表于 2025-6-12 10:35 | 显示全部楼层
一直在用
感谢原作者和所有开发者
这次吃相难看且对原项目失去信任
已经卸载并且取消授权
等等看后面社区fork的版本情况
回复

使用道具 举报

     
发表于 2025-6-12 11:16 来自手机 | 显示全部楼层
我花钱买了桌面版,我可以开始骂了吗

—— 来自 Xiaomi 23117RK66C, Android 15, 鹅球 v3.5.99-alpha
回复

使用道具 举报

发表于 2025-6-12 12:00 来自手机 | 显示全部楼层
感觉用了这么久alist,除了白嫖别人资源也就搞了个webdav共享
那么有其它简单方法建立局域网下的webdav共享吗?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2025-6-15 23:06 , Processed in 0.190408 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表