知名網盤程序alist疑似遭到惡意篡改，或被打包出售

近期多個技術社區（如Linux do、alist github issues等）指出，開源網盤工具 Alist 疑似被打包出售。

Alist 項目代碼和中文文檔被不明身份用戶（alist666）修改，存在供應鏈投毒風險。例如，有用戶發現新版本代碼中插入了跳轉鏈接和廣告，該用戶還提交了將用戶系統信息進行上報的代碼（現已關閉），且部分鏡像地址被篡改，可能導致用戶訪問惡意網站。

用戶系統信息收集相關代碼

該代碼現已關閉

Gitee倉庫開源貢獻者被全部移出倉庫，僅保留了Hutool 創始人Looly的倉庫權限。

開源貢獻者被全部移出倉庫

此外，開發者社區普遍建議大家暫停使用3.40及以上版本，並檢查本地部署是否被篡改。部分用戶已轉向其他開源替代方案（如Cloudreve等），或回退至3.39版本以規避風險。

截至目前，原開發者Xhofe已在社區交流羣中公開表態，明確稱“項目已交由公司運營”，並透露後續將通過代碼審查、分支保護、PR 審覈等機制管控開源版本迭代 。

Xhofe在社區交流羣中的回應