知名网盘程序alist疑似遭到恶意篡改，或被打包出售

近期多个技术社区（如Linux do、alist github issues等）指出，开源网盘工具 Alist 疑似被打包出售。

Alist 项目代码和中文文档被不明身份用户（alist666）修改，存在供应链投毒风险。例如，有用户发现新版本代码中插入了跳转链接和广告，该用户还提交了将用户系统信息进行上报的代码（现已关闭），且部分镜像地址被篡改，可能导致用户访问恶意网站。

用户系统信息收集相关代码

该代码现已关闭

Gitee仓库开源贡献者被全部移出仓库，仅保留了Hutool 创始人Looly的仓库权限。

开源贡献者被全部移出仓库

此外，开发者社区普遍建议大家暂停使用3.40及以上版本，并检查本地部署是否被篡改。部分用户已转向其他开源替代方案（如Cloudreve等），或回退至3.39版本以规避风险。

截至目前，原开发者Xhofe已在社区交流群中公开表态，明确称“项目已交由公司运营”，并透露后续将通过代码审查、分支保护、PR 审核等机制管控开源版本迭代 。

Xhofe在社区交流群中的回应