一、事件背景与风险预警
近期,知名开源网盘聚合工具Alist(GitHub Star 49.8K)已被原开发者出售给贵州不够科技有限公司,并发生以下高风险变更:
1. 控制权转移
- 官网域名从
alist.nn.ci强制跳转至商业化域名alistgo.com,开源声明被移除,新增付费入口 - GitHub仓库主分支权限移交至账号
alist666,原开发者退出管理群组
2. 安全风险升级
- 新版本(>v3.40.0)植入强制上报用户设备信息的代码(如操作系统、IP),数据发送至未加密的
data.alistgo.com - Docker镜像迁移至
alist666/alist,仅提供latest标签(无法锁定版本),且移除x86架构支持,存在供应链攻击风险
3. 社区信任崩塌
- 贡献者权益被忽视(社区戏称"黑奴"),项目违反AGPL-3.0协议单方面出售
- 收购方(贵州不够科技)曾因接管Hutool、LNMP项目后涉隐私收集及"代码投毒"引发争议
二、行动要求:立即停止Alist升级
为保障数据安全与隐私合规,请所有团队执行以下操作:
1. 冻结当前版本
回退或锁定至v3.40.0(最后可信版本),禁止升级至新版本:
docker pull xhofe/alist:v3.40.0 # Docker用户锁定此版本
2. 切断与高危服务连接
在Alist配置中禁用 api.nn.ci 接口(可能被篡改),改用各网盘原生Token
3. 审计现有实例
检查是否误升级至新版本,扫描日志中向 data.alistgo.com 的数据上报行为
三、安全替代方案推荐
基于社区验证,建议迁移至以下方案:
| 方案 | 说明 | 适用场景 |
|---|---|---|
| OpenList | 由Alist原贡献者发起的复刻项目,移除商业化代码,兼容原配置 | 需长期稳定维护的生产环境 |
| CloudDrive2 | 支持多网盘挂载,无依赖外部API,封闭性较高(提供离线下载/媒体库功能) | 企业级文件管理需求 |
| 自建API代理 | 通过开源工具(如Cloudreve)代理网盘Token申请,避免依赖第三方接口 | 对隐私要求极高的金融/政务场景 |
✅ 迁移工具支持
- 使用Alist内置【备份与恢复】功能导出配置(
管理后台 > 备份&恢复 > 生成JSON),导入OpenList即可复用挂载设置
四、后续风险应对
五、结语
开源项目的商业化本为常态,但绕过社区贡献者、向有争议企业秘密出售核心资产的行为,已实质威胁用户安全。请各团队立即行动,冻结版本并迁移至可信替代方案。运维组将持续同步进展,如需技术支持,请联系内部工单系统(优先级设为紧急)。