最近,开源项目 Alist 被收购的消息引发了广泛关注。
Alist
网盘神器 Alist 是一款支持40+主流网盘聚合管理的开源工具,提供跨平台文件管理、在线视频播放等功能,Docker镜像下载量超500万次,用户基数庞大。
他最强大的功能就是可以把市面上绝大多数网盘挂载webdav到本地,就像电脑里的硬盘一样使用,对于不限速的一些网盘,就可以像播放自己硬盘里的音乐和电影一样直接在线观看,不用下载到本地。
贵州不够科技有限公司
收购方为贵州不够科技有限公司。
贵州不够科技有限公司(下称“不够科技”),该公司此前曾收购Hutool、LNMP等开源项目,并因“投毒”(植入恶意代码)和闭源争议引发社区警惕。
鉴于Alist的庞大用户规模,不少用户担心其未来可能会像其它项目一样,被收购后出现供应链投毒等问题。
关键时间线
| 时间 | 事件 | 说明 |
|---|---|---|
| 2024-10-14 | 新域名 alistgo.com 注册 |
收购计划启动的早期迹象。 |
| 2024-11-12 | 官方文档域名替换为 alistgo.com |
未公告说明,社区开始猜测项目易主。 |
| 2024-12-07 | GitHub账号 alist666 接管仓库,修改README重定向至新域名 |
原开发者博客链接被删除,项目控制权转移。 |
| 2025-05-29 | 提交PR #8633(收集用户系统信息并上报) | 存在数据泄露风险,后因舆论压力被关闭。 |
| 2025-06-10 | 用户发Issue #8649质疑项目被卖,官网404、文档商业化修改 | 事件引爆,GitHub热榜讨论激增。 |
| 2025-06-11 | 原开发者Xhofe在TG频道承认“项目交由公司运营” | 未透露交易细节,引发账号连带出售猜测。 |
| 2025-06-12 | 123Pan 关于暂停第三方挂载软件Alist的通知 | 123云盘 - 公告中心 |
| 2025-06-14 | 外网无法访问 alistgo.com |
主页疑似遭网友爆破,因此屏蔽了外网IP |
这里有两个关键点:
- 一个是作者把项目买给商业公司了,卖了很久了,但是没有通知社区。
- 另一个是用户隐私数据统计的 PR 提交,被发现了,于是事情才暴露了,然后作者才出来说明原来项目已经卖了。
争议焦点
-
隐蔽操作与信任崩塌
- 项目易主无官方公告,文档被大幅修改为商业化内容。
- 原开发者Xhofe突然退出所有社交群组且失联,加剧社区疑虑。
-
供应链投毒风险
- 不够科技曾因在LNMP、Hutool等收购项目中植入恶意代码(如后门程序、用户数据收集)被曝光。
- 本次争议PR #8633试图收集用户服务器配置信息并上传至私有地址,虽被撤回,但此前可能已有类似代码合入。
- 收集用户信息代码:Machine statistics by alist666 · Pull Request #8633 · AlistGo/alist
-
法律与合规问题
- 著作权争议:若原开发者单方面出售含社区贡献者代码的项目,可能侵犯贡献者署名权(AGPL-3.0协议要求保留署名)。
- 开源贡献者 = 免费牛马
- 隐私违规:强制收集用户数据未说明目的,违反《个人信息保护法》。
-
用户数据安全威胁
Alist涉及网盘Token、Cookie等敏感信息,若被恶意收集,可能导致网盘账户被盗或文件泄露。
社区反应与应对建议
-
集体抵制:GitHub Issues涌入大量批评,新维护者
alist666删除质疑帖并踢出反对者,进一步激化矛盾。 -
立即行动:
- 暂停更新/部署新版,降级至v3.40.0或更早版本。
- 取消各网盘对Alist的授权(如百度网盘“授权管理”中移除Alist)。
- 百度网盘:我的 → 设置 → 账号管理 → 授权管理 → Alist → 解除授权
- 阿里云盘:阿里盘 登录与授权 我的 → 鼠标上角齿轮 → 隐私设置 → 授权管理 → Alist → 解除授权
- 115 盘:App → 生活 → 账号与安全 → 第三方登录管理
- 联通云盘:登陆网页版,查看登录历史,手动删除 Alist 授权
- 一刻相册:头像 → 应用设置 → 账号管理 → 授权管理
- Google 网盘 / 相册:Google 账号中心 → 安全性 → 第三方应用 → 移除 Alist 授权
- Dropbox:设置 → 安全 → 应用 → 移除 Alist
- OneDrive / Microsoft:https://account.live.com/consent/Manage
-
长期策略:
- 监控服务器外联流量,排查异常请求。
- 迁移至社区分支(AListTeam), 又改名 OpenList Team,创建社区维护分支并清除潜在恶意代码。
- 我们是 OpenList 团队,致力于构建一个更可信、可持续的 AList 开源替代方案,防范未来可能的闭源、黑箱或不可信变更。
- 替代工具
-
关注依赖风险:
基于Alist的衍生项目(如“小雅”资源库)需同步评估安全性。
网友评论
-
哪怕 Alist 是个病毒,也是自己点击下载安装的。作者卖自己的项目,一点也不违法。开源的代码,不服气,我们可以去 fork ,可以自己去改代码
-
偷偷卖,卖掉的你以为是项目吗?其实卖的是用户。
-
没必要指责作者卖 Alist 。但是话有说回来了,悄咪咪卖给黑料爆表的公司让人数落也合情合理。你可以施粥,但你不能悄咪咪掺屎。
-
alist 本身就是一个灰产项目,一大堆接口全是逆向抓包出来的,如果我是作者,做出商业版本肯定要被围攻,毕竟已经是违法的东西了,那还不如直接卖了,0 风险不用承担法律风险,又能变现这几年的付出,不好吗?
-
开源项目,灰产公司凭啥花钱收购你,自己拿去改改代码不行吗,又不是 ioredis 那种。原因不是开源的问题。alist 的问题是保存用户 token ,收购方是灰产公司。在没有公开的情况下,偷摸完成了收购,灰产公司已经拿到用户 token 了,并且代码已经加入东西。
-
开源这个事本身就是凭借道德、信任、责任感、爱建立的,但如果哪天人人都这么玩,那离世界毁灭也不远了
-
开源这东西,我就只认同 v 站一个哥们的说法,这玩意就是我做了一盘菜,然后开放了菜谱,你照着做,好吃不好吃,自己负责,不好吃,你就去改菜谱,但是你没有理由要求初始的作者为你做什么,人家就是随意分享一盘菜而已,你白嫖了一口,人家哪天不让你白嫖了,或者改了菜的口味,这都是合情合理的,你没有理由要求原作者或者 commiter 为你做任何事情。
-
不能像圣人一样要求开源作者无欲无求免费劳动。搞开源嘛,维护是情分,摆烂是本分。有人高价买?当然乐意了。至于买方是什么怎么样,卖方也没有背调的义务,你可以道德上谴责,但是这个行为本身并不违法。
-
这也就解释了我一直的疑问:我们的产品做的并不怎么滴, 开源替代也很多, 为什么还有那么多客户不用开源免费的.
-
开源项目仅仅凭借公共网络将开发者和用户连接起来,没有强有力的组织规范保障,终究是一盘散沙,在利益和资本的冲洗下就散了。我们在这里声讨Xhofe和背后的公司,说不定他们看了还觉得好笑。所以停止用滤镜看待开源产品吧,你所提的每一个Issue,发起的每一个PR,不过是人家通往金钱利益的垫脚石,而你还沉醉在大显身手、实现价值的美梦中。
-
这是开源项目【最丑陋】、【最不体面】的变现方式之一!
个人观点
我用过 alist,确实是个好工具。但其实没啥使用场景,就卸载了。网盘自己官方客户端,PC端、手机端、TV端都有,没必要再用一个第三方工具。
-
虽然有些网盘是开放 WebDAV 接口的,但这种建立在第三方工具上的网盘使用方式,我感觉是朝不保夕、难于维护,不会有好结果。因为网盘的 API 可能会随时变更,第三方工具需要不断更新适配。
-
虽然很多人用,很多人Star,还是要看看自己需不需要。我们有很多网站、周报在推荐很多新工具,但其实很多工具都不需要。
-
开源变现属实是个难题,建议还是保持透明度。问题是,如果人家买的就是透明度,那应该怎么办?
-
开源项目的灵魂不是代码,而是社区。
-
不要有开源滤镜,开源并不等于高质量、免费、安全。
-
Alist 得黄,这样一闹,大家都知道了,估计也不会再有人用 Alist 了。
