开源项目Alist投毒事件

事件概述与时间线

AList作为一款支持多种网盘存储的开源文件列表程序，因其便捷的功能和开放的源代码赢得了广大用户的青睐。然而，2025年6月，这个备受推崇的开源项目却陷入了被收购的风波，引发了开源社区的广泛关注和担忧。

AList开源项目被收购事件的时间发展过程，从4月收购传言到6月官方确认

根据调查显示，整个事件可以追溯到2025年4月，当时就有传言称AList项目疑似被不够科技（贵州）收购。5月11日，原开发者Xhofe进行了最后一次代码提交，此后便保持沉默。6月10日，用户在GitHub发现官网出现404错误，开始质疑项目是否被出售。6月11日，原开发者最终公开承认项目已交由公司运营，随后各大媒体开始广泛报道此事件。

收购方背景与供应链投毒风险

据调查，收购AList的公司为"不够科技（贵州）"，这家公司此前还曾收购过Java工具库Hutool。更令人担忧的是，该公司的收购行为存在供应链投毒的潜在风险。

开源项目供应链投毒风险案例对比，展示不同项目的风险等级和收购方

历史案例显示，2023年曾发生多起严重的供应链投毒事件。金华某公司在收购OneinStack和LNMP后就尝试进行投毒，虽然被安全公司及时发现，但这些先例为AList的未来蒙上了阴影。在AList项目中，社区已经发现了疑似数据收集的代码，尽管该代码后来被撤销，但这进一步证实了供应链投毒的现实风险。

事件影响与社区反应

此次收购事件对开源社区造成了深远影响。原开发者Xhofe从所有社交群组中退出，不再回应相关问题，这种突然的沉默让人产生种种猜想。项目的中文文档被大幅修改，官网从alist.nn.ci更换为alistgo.com，这些变化都加剧了用户的担忧。

GitHub上的Issues区域已被大量质疑和抱怨淹没，社区贡献者被排除在项目管理之外，只保留了Hutool创始人Looly的仓库权限。这种做法引发了开源社区的强烈不满，许多用户开始寻找替代方案或回退到早期版本。

网盘授权取消紧急应对措施

鉴于AList项目存在的安全风险，用户急需取消各大网盘的授权以保护个人数据安全。根据风险评估，不同网盘服务的取消授权紧急程度存在差异。

AList被收购后各大网盘授权取消的紧急程度评级

高风险网盘（需优先处理）

阿里云盘的授权取消步骤为：

登录阿里云盘官网或APP，进入"设置"选项，找到"授权管理"部分，选择AList相关授权并确认取消。

百度网盘的操作方法是：

在APP中点击"我的"，进入"设置"选择"账号管理"，然后点击"授权管理"，找到需要取消的应用并选择"解除授权"。

115网盘的取消授权可直接访问

https://115.com/?mode=device_manage，查看已授权设备并移除相关授权。

中风险网盘

OneDrive用户可访问

https://account.live.com/consent/Manage，选择相关应用并撤销权限。

Google Drive的授权管理页面位于

https://myaccount.google.com/permissions，用户可在此移除对AList的访问权限。

替代方案与社区应对

面对AList的不确定性，开源社区积极寻找替代方案。主要的替代产品包括Cloudreve、Nextcloud、Seafile和rclone等。

AList替代方案对比信息图

Cloudreve作为功能最相似的替代品，支持多种存储后端，提供了丰富的文件管理功能和安全保障。Nextcloud则适合企业级用户，提供端到端加密和强大的团队协作功能。Seafile在团队协作方面表现突出，而rclone则为命令行用户提供了强大的同步功能。

与此同时，社区也出现了AList的Fork版本，其中xrgzs/dlist是较为活跃的社区维护版本。这些Fork版本为用户提供了继续使用AList功能的选择，但其长期维护能力和安全性仍需观察。

深度反思：开源项目被收购的痛心评价

开源精神的背叛

AList事件不仅仅是一个简单的商业收购，更是对开源精神的一次背叛。原开发者在项目积累了大量用户和社区贡献后，选择将项目出售给商业公司，这种行为虽然在法律上合规，但在道德层面却值得质疑。

开源项目的价值不仅体现在代码本身，更体现在社区的信任和贡献。当开发者选择出售项目时，实际上是在出卖社区多年来的信任和无偿贡献。许多贡献者在GitHub上的愤怒评论反映了社区对这种背叛行为的深度失望。

供应链安全的脆弱性

此次事件再次暴露了开源软件供应链的脆弱性。当一个广泛使用的开源项目被恶意收购时，其影响范围可能远超预期。AList作为连接多个网盘服务的桥梁，一旦被投毒，可能导致用户的敏感数据被泄露或滥用。

历史上OneinStack和LNMP的投毒案例表明，收购开源项目进行投毒已经成为一种成熟的攻击手段。这些案例中，攻击者通过在安装脚本中植入恶意代码，实现了对大量服务器的控制。AList的情况虽然还未达到这种程度，但其潜在风险不容忽视。

商业化与开源的矛盾

AList事件反映了开源项目商业化过程中的深层矛盾。一方面，开发者有权为自己的劳动获得合理回报；另一方面，开源项目承载着社区的期望和信任，不应该成为纯粹的商业工具。

不够科技的收购行为表明，某些公司将开源项目视为获取用户数据和市场份额的工具，而非推动技术进步的手段2。这种功利性的收购往往会损害项目的长期发展和用户利益。

对开源生态的警示

AList事件为整个开源生态敲响了警钟。它提醒我们，开源并不意味着永远免费和安全，也不意味着开发者会永远坚持初心。社区需要建立更完善的治理机制，确保重要项目不会因个人决策而偏离轨道。

同时，这个事件也强调了多样化和去中心化的重要性。过度依赖单一的开源项目会带来巨大风险，社区应该鼓励更多的替代方案和竞争项目。

结论与建议

AList被收购事件是开源软件发展史上的一个重要节点，它揭示了个人主导的开源项目在面临商业诱惑时的脆弱性。这个事件不仅影响了数万用户的数据安全，更对开源社区的信任造成了深远影响。

对于用户而言，当务之急是立即取消所有网盘授权，更换相关密码，并迁移到可信的替代方案。对于开源社区而言，这个事件提醒我们需要建立更强的项目治理机制，防止类似事件再次发生。

最终，AList事件虽然令人痛心，但这也与国内社区环境有关，开源约等于就是免费设置倒贴为爱发电，几乎无人打赏，令人唏嘘

代码切片请自行到项目查看，这里呢就不提供切片了