知名网盘挂载程序 Alist 可能已被出售并植入恶意代码（更新 fork 仓库）

=w=

汝者 发表于 2025-6-12 10:09
现在issues区还被人用发帖机爆破了...有趣真有趣啊

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alp ...

作者一开始是在 hostloc 宣传的，帖子链接：https://hostloc.com/thread-788548-1-1.html

当时只支持阿里云盘，后来重写支持了更多的网盘：https://hostloc.com/thread-956108-1-1.html

这个群体什么人都有，把作者给盒了都是可能的

就烦起名字

问题主要错在偷偷卖给了一个有劣迹的公司
如果他卖了之后及时告知情况 剩下就是用户用不用自便了

password

https://www.v2ex.com/t/1138125
https://www.v2ex.com/t/994143

这公司做黑产菠菜的啊，alist要拿去做黑产原作者妥妥帮信罪了啊

就咋的

帮助信息网络犯罪活动罪

明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。
单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。
有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。
— 《中华人民共和国刑法》第二百八十七条之二

2019年10月21日，最高人民法院、最高人民检察院印发《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》，自2019年11月1日起施行。该《解释》有关帮信罪罪名的司法解释如下：

    第十一条 为他人实施犯罪提供技术支持或者帮助，具有下列情形之一的，可以认定行为人明知他人利用信息网络实施犯罪，但是有相反证据的除外：

    （一）经监管部门告知后仍然实施有关行为的；
    （二）接到举报后不履行法定管理职责的；
    （三）交易价格或者方式明显异常的；
    （四）提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的；
    （五）频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份，逃避监管或者规避调查的；
    （六）为他人逃避监管或者规避调查提供技术支持、帮助的；
    （七）其他足以认定行为人明知的情形。

    第十二条 明知他人利用信息网络实施犯罪，为其犯罪提供帮助，具有下列情形之一的，应当认定为刑法第二百八十七条之二第一款规定的“情节严重”：
    （一）为三个以上对象提供帮助的；
    （二）支付结算金额二十万元以上的；
    （三）以投放广告等方式提供资金五万元以上的；
    （四）违法所得一万元以上的；
    （五）二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚，又帮助信息网络犯罪活动的；
    （六）被帮助对象实施的犯罪造成严重后果的；
    （七）其他情节严重的情形。
    实施前款规定的行为，确因客观条件限制无法查证被帮助对象是否达到犯罪的程度，但相关数额总计达到前款第二项至第四项规定标准五倍以上，或者造成特别严重后果的，应当以帮助信息网络犯罪活动罪追究行为人的刑事责任。

lhw369

你以为卖的是alist，实际卖的是alist的用户。真以为alist值钱啊

posthoc

Alist私自逆向接口连接网盘本来就是非法的吧……正经公司也未必敢买

dccif

lhw369 发表于 2025-6-12 13:53
你以为卖的是alist，实际卖的是alist的用户。真以为alist值钱啊

感觉这种白嫖用户不如机器当肉鸡值钱

我是快乐小马甲

alist的用户值什么钱。。。没有付费习惯的用户都是负资产，他们甚至连广告都不愿意看，纯纯浪费带宽

mishidexieyu

原来飞牛有发公告，直接通过应用中心下的版本不是最新的。不过用的api应该还是有风险

近期飞牛有收到用户反馈，alist开源作者已经将项目交由某公司运营维护的情况。

大家对后续该应用的安全性表示担忧。

经核实，目前飞牛应用中心的alist网盘版本为V3.37.4版本，不涉及变更后的相关功能。



应用中心展示的3.49.3版本为飞牛应用中心维护的版本号，与alist实际版本非对应关系，望知悉。

Midnight.Coup

fork 这不得叫个 Blist，以前 SuperSU 也卖给国内公司然后寄了，后面也有类似的

就咋的

AList - > OpenList

"Hello there, I'm Xhofe. I love open source."
https://github.com/xhofe

"OpenList is a resilient, community-driven fork of AList — built to defend open source against trust-based attacks."
https://github.com/OpenListTeam

呀~~~呀嘿！

汝者 发表于 2025-6-12 10:05
作者吃相不好，但某些白嫖用户在这次事件上更难看
github上义愤填膺问候作者家人 连杯咖啡都没请天天提需求 ...

你愿意做贡献，你也知道这个东西做出来就是用爱发电的，没人逼你做并白嫖你。
现在偷偷把用户信息卖了，被骂也只能说是活该。
而且这个事情影响很恶劣，就好像汉化组在自己的字幕文件里偷偷留了后门窃取用户信息盈利，导致大家都不敢用网络的字幕。

lhw369

我是快乐小马甲 发表于 2025-6-12 14:56
alist的用户值什么钱。。。没有付费习惯的用户都是负资产，他们甚至连广告都不愿意看，纯纯浪费带宽 ...

指望的又不是用户的付费，而是用户的数据和隐私

—— 来自 realme RMX3888, Android 15, 鹅球 v3.5.99

satan023

这个东西好像蛮火的，有啥用吗 我家里有nas了

GJRstone

开源的终极动力就两个，一个生产资料共有，一个标准倾销，这种名义开源实际上是免费做服务的开发者早晚要跑路的

diohanmilton

password 发表于 2025-6-12 13:38
https://www.v2ex.com/t/1138125
https://www.v2ex.com/t/994143

需要登录，没账户，具体扒了什么？

—— 来自 鹅球 v3.3.96-alpha

宵神乐

satan023 发表于 2025-6-12 16:36
这个东西好像蛮火的，有啥用吗 我家里有nas了

无盘nas 直接挂网盘的东西。
反正我就用来配合jellyfin做媒体中心
一个矿渣盒子就能跑了

[皆神孝介]

CloudDrive这个软件怎么样？

guizebug

淦，我今天刚想绑个阿里云下东西，结果打不开刷token的页面了，你们吵架归吵架不要关服务器啊

—— 来自 vivo V2303A, Android 15, 鹅球 v3.5.99

diohanmilton

看了下 阿里云的webdav官方支持要收费。夸克就没有给第三方开服务。

现在暂时把cherrystudio同步挂到坚果云上吧。

sysen_zzl

请问现在openwrt上能把115挂载成webdav的替代方案是什么啊

diohanmilton

sysen_zzl 发表于 2025-6-12 22:34
请问现在openwrt上能把115挂载成webdav的替代方案是什么啊

https://www.clouddrive2.com/features.html

clouddrive吧

Akkarin~

哈尔路尼亚 发表于 2025-6-12 12:00
感觉用了这么久alist，除了白嫖别人资源也就搞了个webdav共享
那么有其它简单方法建立局域网下的webdav共享 ...

如果只需要支持本地文件共享的话可以用轻量级的 https://github.com/sigoden/dufs
另外我做了一个替换用的前端界面 https://github.com/TransparentLC/dufs-material-assets

需要挂载国内网盘的话应该无解？国外网盘的话大概还可以用rclone

—— 来自 Xiaomi MIX 2S, Android 10, 鹅球 v3.5.99

123485k

当年我还给alist贡献过代码，虽然只是一个简单的小功能，没想到现在变成这样了

password

diohanmilton 发表于 2025-6-12 19:29
需要登录，没账户，具体扒了什么？

—— 来自 鹅球 v3.3.96-alpha

就v2ex有人两年前去贵州不够科技这家公司面试过，说是做中东菠菜盘和黑产的

无可奉吿

123485k 发表于 2025-6-13 15:03
当年我还给alist贡献过代码，虽然只是一个简单的小功能，没想到现在变成这样了 ...

卧槽 alist视频播放能识别xml弹幕是你弄的啊

123485k

无可奉吿 发表于 2025-6-13 17:28
卧槽 alist视频播放能识别xml弹幕是你弄的啊

alist使用的播放器有弹幕插件，我给他加上去了，因为我自己录管人录播，希望可以看到弹幕

Midnight.Coup

这种时候 GPL 之类感染性强制开源的许可证就有优势了，作者想卖也只能卖自己贡献的那部分

diohanmilton

Midnight.Coup 发表于 2025-6-13 19:35
这种时候 GPL 之类感染性强制开源的许可证就有优势了，作者想卖也只能卖自己贡献的那部分 ...

alist就是agpl的项目。

gpl只是禁止下游薅了上游之后闭源。

其他情况，随便谁甚至不是开发者把这个玩意卖出去，只当你牛逼骗了个傻子。

这公司起码没有明确说要闭源。minecraft有个相关的项目当年也是大作者卖身下游公司闭源才吃了官司。



—— 来自 鹅球 v3.3.96-alpha