【提醒】AList 用户请暂缓升级版本

讨论分享
1

今天在其他论坛看到 AList 疑是被卖了。

由于我也在用 AList,所以仔细查验了,确实存在诸多可疑之处。

为了避免受到供应链攻击,重蹈 lnmp 覆辙,建议各位暂缓升级。

我不清楚小众的政策能不能贴其他论坛的网址,有兴趣的各位前往搜索引擎即可找到。

2 个赞
2

更新一个 issue

1 个赞
3

周边设施太多了,要fork的话一个web不够,alist的api服务是不开源的,如果没有人愿意积极接手的话,未来不看好,主体使用AGPL授权,协议上没有太大障碍。

2 个赞
4

哎呀…

麻了麻了

5

没用这方面的限制,可以随便帖。

1 个赞
6

那我来转隔壁L站的一些分析吧,v2应该也有,还没去看。
首先是广告从万维换成了这个vidhub

9de9d471b424bf8a876a793b20e3219fa3593f06_2_690x451.jpeg
但是看commit,修改者不是开发者的账户,是一个刚注册的账号

f2895b1fcbb628de0e57fb1e67b5b631e94f3371_2_230x500.jpeg

e2f88a563a4ec209a3f29233119440e0b03e7dd6_2_230x500.jpeg

这是一个疑点,既然换广告,开发者为什么要开一个小号来换呢

其次是这个新注册的github账户修改了文档的分发链接,和docker镜像名称

3c7cca53258393ed6c5476ed4b4ddaf13d9f3533_2_690x374.webp

安装了修改后的docker镜像

https://github.com/AlistGo/docs/discussions/438

05181938b70f9c0e431732b41da6ecca0937386c_2_223x500.jpeg

使用 Docker 中的镜像地址被修改为 alist666/alist,只存在一个latest tag,且只有arm64镜像,在x86设备上部署发现运行不了才发现镜像地址被改了

Screenshot_2025-06-10-22-34-03-82_40deb401b9ffe8e1df2f1cc5ba480b12

官方镜像和盗版镜像,同一个架构镜像大小不一样

https://hub.docker.com/r/xhofe/alist/tags

https://hub.docker.com/r/alist666/alist/tags

4e1e8db67c82478ba3324fee03d3b1e4f31f3e59_2_223x500.jpeg
b1ff5fc4bbbeedf18105721c559bdd971cdf8aab_2_223x500.jpeg

新疑点,TG群管理大换血了,原管理找不到了,不清楚是退群了还是匿名了
16cf42de26c5077d5264d9d26e8fa52c7b417c06_2_230x500.jpeg

1 个赞
7

评论的一些分析

hutool前两个月也是被这家公司拿下了,一模一样手法。
天塌了,Java 知名框架 Hutool 仓库突然迁移,究竟动了谁的蛋糕?-腾讯云开发者社区-腾讯云

2 个赞
8

大概,卖掉这件事是实锤了。

但是,开发者不出来解释说明一下,有点说不过去哎

9

这就是开源软件理念被巨头劫持调教之后的必然咯; 国内没人天天给你念经开源运动的经书, 只有人给你念硅谷的月亮比较圆的经; 那不就是天经地义嘛?
毕竟, 这其实就是很多地方的所谓开源软件的底层困境, 只不过国内的从业者天生没有道德负担而已;

当然, 这个其实属于是我个人的观点, 乃至偏见; 但是我其实觉得, 开源软件的困境是事实上存在的, 不只是变现和商业化的问题, 更是存在模式本身的一个困境;

至于国内很多企业的做法, 那我纯纯私货, 就是这帮人就是这个鸟样, 他们自己都不尊重自己的行业

1 个赞
10
  1. 项目本身出现奇怪的 pr,是统计操作系统的信息然后发送到特定的网站(而且代码质量很拉跨)
  2. 隔壁 docs 的文档被大改,持续两个星期了
  3. 现在官网甚至都已经 404 了
  4. 联系方式变成了一个“贵州不够科技有限公司”的企业微信。这个公司在购买另一个开源项目hutool时把原来的 hutool 仓库贡献者全部移除。
  5. 默认Docker镜像已经被替换

目前大家最大的疑虑是:

  1. 这个公司在之前收购hutool后玩的一些骚操作
  2. 增加收集操作系统信息并上传的代码
  3. 全员转入收费?或劣化社区版?
  4. 因为部分网盘API经由alist官方的APIapi.nn.ci,这里存在可靠性问题

Github上的讨论issues(目前已经被关闭)

11

之前还在面包多买了alist-desktop赞助了一下作者,没想到就被卖了

12

给的钱够多就不会有解释,
在之前 金华市矜贵网络科技有限公司买了
Lnmp.org、oneinstack、macyy.cn三家,分别为脚本和网站
都很快出现了供应链投毒问题。

但这些项目的原作者都完全没有出来解释过,就好像这些项目和他们这些原作者完全无关。

主要是原作者没法解释:
如果在乎自己的作品的声誉,那为什么要卖掉呢,大不了停更嘛。
都已经卖了,他出面去背这个舆论的目的是什么,收购方也不会为此给他多付钱。

2 个赞
13

LNMP那个事件的金华市矜贵网络科技有限公司,可有意思了。

  • 买了Lnmp一键包:Lnmp一键包被投毒了。
  • 买了oneinstack一键包(PHP/JAVA一键包):oneinstack一键包被投毒了。
  • 买了macyy.cn mac破解软件站:站内多个运维软件(SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop)被投毒了。
1 个赞
14

另外,虽然被卖了,但原开发者一直在更新?

Screen-20250611103155@2x.png

1 个赞
15

现在黑/灰产真的很喜欢,收购无力维护的用户广泛的开源项目、网站、平台账号搞事情。

开源项目比较典型的就是LNMP一键包事件,被收购后安装脚本很快被加入恶意代码。
网站比如典型的 JS、CSS加速服务:Staticfile、BootCDN、Bootcss
平台账号的案例就太多了……

3 个赞
16

被吸纳了? 或者有协议要保持更新?

另外我有一个问题我的docker是不是把tag换了,不用latest就可以了?

2 个赞
17

卖了就卖了,国内的开源环境就这样啊

18

_20250611113338.png

作者回应了。
不过现在大家质疑变成了“作者不会连自己账号都卖了吧” :joy:

5 个赞
19

离谱了,如果这都卖了。。。

20

你得等等,这公司有黑历史…