知名开源网盘应用Alist被收购 存在使用风险

6月11日，知名开源网盘应用Alist疑似被收购一事在开源社区引发广泛关注。据多方消息显示，该项目已被"贵州不够科技"公司收购，原开发者Xhofe已从所有社交群组中退出并不再回复相关问题。

Alist是一个能够将40多款主流网盘聚合到一个网页上进行文件管理、视频播放等操作的开源项目。项目在开源社区拥有较高知名度和广泛用户基础。

多处异常变更被发现

用户发现项目出现了多项可疑变更：

文档和下载链接被修改：项目官网域名从原来的alist.nn.ci更换为alistgo.com，中文文档被大幅修改，加入了微信链接等非技术内容。

Docker镜像被替换：官方文档中的Docker镜像被替换为alist666/alist，该镜像与原官方镜像xhofe/alist在同架构下大小不一致。目前这个可疑镜像已有约4000次拉取。

代码提交异常：GitHub上的修改记录显示，相关变更并非由原开发者账户提交，而是由新注册的账户完成，这引发了社区的质疑。

管理权变更：项目官方群组管理员出现大换血，原管理员去向不明。

“投毒”风险引担忧

社区最关心的是潜在的供应链投毒风险。据报道，此前金华某公司收购Oneinstack和LNMP后曾尝试进行投毒，但被安全公司发现。

"贵州不够科技"此前还收购了Java工具库Hutool。有用户指出，该公司收购的开源软件都出现了异常情况。

目前最大的风险在于，Alist使用了私有API服务，如果原开发者不再提供相关API支持，用户可能面临无法使用的困境。

社区应对建议

面对当前情况，技术社区给出了以下建议：

• 暂缓更新：建议现有用户不要更新现有部署，新用户暂时不要部署该项目

• 等待社区解决方案：已有贡献者开始进行项目fork，为用户提供替代选择

• 保持警惕：密切关注项目后续发展，避免潜在安全风险

开发者最新回应

据最新消息，原开发者曾回应称"项目已交由公司运营"，并表示会帮忙审查开源版本仓库的代码，确保release的分发由CI自动构建。然而，社区对此回应仍存质疑，有用户担心"作者不会连自己账号都卖了吧"。

开源博主对 AList 的评价