開源項目Alist投毒事件

事件概述與時間線

AList作爲一款支持多種網盤存儲的開源文件列表程序，因其便捷的功能和開放的源代碼贏得了廣大用戶的青睞。然而，2025年6月，這個備受推崇的開源項目卻陷入了被收購的風波，引發了開源社區的廣泛關注和擔憂。

AList開源項目被收購事件的時間發展過程，從4月收購傳言到6月官方確認

根據調查顯示，整個事件可以追溯到2025年4月，當時就有傳言稱AList項目疑似被不夠科技（貴州）收購。5月11日，原開發者Xhofe進行了最後一次代碼提交，此後便保持沉默。6月10日，用戶在GitHub發現官網出現404錯誤，開始質疑項目是否被出售。6月11日，原開發者最終公開承認項目已交由公司運營，隨後各大媒體開始廣泛報道此事件。

收購方背景與供應鏈投毒風險

據調查，收購AList的公司爲"不夠科技（貴州）"，這家公司此前還曾收購過Java工具庫Hutool。更令人擔憂的是，該公司的收購行爲存在供應鏈投毒的潛在風險。

開源項目供應鏈投毒風險案例對比，展示不同項目的風險等級和收購方

歷史案例顯示，2023年曾發生多起嚴重的供應鏈投毒事件。金華某公司在收購OneinStack和LNMP後就嘗試進行投毒，雖然被安全公司及時發現，但這些先例爲AList的未來蒙上了陰影。在AList項目中，社區已經發現了疑似數據收集的代碼，儘管該代碼後來被撤銷，但這進一步證實了供應鏈投毒的現實風險。

事件影響與社區反應

此次收購事件對開源社區造成了深遠影響。原開發者Xhofe從所有社交羣組中退出，不再回應相關問題，這種突然的沉默讓人產生種種猜想。項目的中文文檔被大幅修改，官網從alist.nn.ci更換爲alistgo.com，這些變化都加劇了用戶的擔憂。

GitHub上的Issues區域已被大量質疑和抱怨淹沒，社區貢獻者被排除在項目管理之外，只保留了Hutool創始人Looly的倉庫權限。這種做法引發了開源社區的強烈不滿，許多用戶開始尋找替代方案或回退到早期版本。

網盤授權取消緊急應對措施

鑑於AList項目存在的安全風險，用戶急需取消各大網盤的授權以保護個人數據安全。根據風險評估，不同網盤服務的取消授權緊急程度存在差異。

AList被收購後各大網盤授權取消的緊急程度評級

高風險網盤（需優先處理）

阿里雲盤的授權取消步驟爲：

登錄阿里雲盤官網或APP，進入"設置"選項，找到"授權管理"部分，選擇AList相關授權並確認取消。

百度網盤的操作方法是：

在APP中點擊"我的"，進入"設置"選擇"賬號管理"，然後點擊"授權管理"，找到需要取消的應用並選擇"解除授權"。

115網盤的取消授權可直接訪問

https://115.com/?mode=device_manage，查看已授權設備並移除相關授權。

中風險網盤

OneDrive用戶可訪問

https://account.live.com/consent/Manage，選擇相關應用並撤銷權限。

Google Drive的授權管理頁面位於

https://myaccount.google.com/permissions，用戶可在此移除對AList的訪問權限。

替代方案與社區應對

面對AList的不確定性，開源社區積極尋找替代方案。主要的替代產品包括Cloudreve、Nextcloud、Seafile和rclone等。

AList替代方案對比信息圖

Cloudreve作爲功能最相似的替代品，支持多種存儲後端，提供了豐富的文件管理功能和安全保障。Nextcloud則適合企業級用戶，提供端到端加密和強大的團隊協作功能。Seafile在團隊協作方面表現突出，而rclone則爲命令行用戶提供了強大的同步功能。

與此同時，社區也出現了AList的Fork版本，其中xrgzs/dlist是較爲活躍的社區維護版本。這些Fork版本爲用戶提供了繼續使用AList功能的選擇，但其長期維護能力和安全性仍需觀察。

深度反思：開源項目被收購的痛心評價

開源精神的背叛

AList事件不僅僅是一個簡單的商業收購，更是對開源精神的一次背叛。原開發者在項目積累了大量用戶和社區貢獻後，選擇將項目出售給商業公司，這種行爲雖然在法律上合規，但在道德層面卻值得質疑。

開源項目的價值不僅體現在代碼本身，更體現在社區的信任和貢獻。當開發者選擇出售項目時，實際上是在出賣社區多年來的信任和無償貢獻。許多貢獻者在GitHub上的憤怒評論反映了社區對這種背叛行爲的深度失望。

供應鏈安全的脆弱性

此次事件再次暴露了開源軟件供應鏈的脆弱性。當一個廣泛使用的開源項目被惡意收購時，其影響範圍可能遠超預期。AList作爲連接多個網盤服務的橋樑，一旦被投毒，可能導致用戶的敏感數據被泄露或濫用。

歷史上OneinStack和LNMP的投毒案例表明，收購開源項目進行投毒已經成爲一種成熟的攻擊手段。這些案例中，攻擊者通過在安裝腳本中植入惡意代碼，實現了對大量服務器的控制。AList的情況雖然還未達到這種程度，但其潛在風險不容忽視。

商業化與開源的矛盾

AList事件反映了開源項目商業化過程中的深層矛盾。一方面，開發者有權爲自己的勞動獲得合理回報；另一方面，開源項目承載着社區的期望和信任，不應該成爲純粹的商業工具。

不夠科技的收購行爲表明，某些公司將開源項目視爲獲取用戶數據和市場份額的工具，而非推動技術進步的手段2。這種功利性的收購往往會損害項目的長期發展和用戶利益。

對開源生態的警示

AList事件爲整個開源生態敲響了警鐘。它提醒我們，開源並不意味着永遠免費和安全，也不意味着開發者會永遠堅持初心。社區需要建立更完善的治理機制，確保重要項目不會因個人決策而偏離軌道。

同時，這個事件也強調了多樣化和去中心化的重要性。過度依賴單一的開源項目會帶來巨大風險，社區應該鼓勵更多的替代方案和競爭項目。

結論與建議

AList被收購事件是開源軟件發展史上的一個重要節點，它揭示了個人主導的開源項目在面臨商業誘惑時的脆弱性。這個事件不僅影響了數萬用戶的數據安全，更對開源社區的信任造成了深遠影響。

對於用戶而言，當務之急是立即取消所有網盤授權，更換相關密碼，並遷移到可信的替代方案。對於開源社區而言，這個事件提醒我們需要建立更強的項目治理機制，防止類似事件再次發生。

最終，AList事件雖然令人痛心，但這也與國內社區環境有關，開源約等於就是免費設置倒貼爲愛發電，幾乎無人打賞，令人唏噓

代碼切片請自行到項目查看，這裏呢就不提供切片了