近期,开源网盘聚合工具 AList 疑似被贵州不够科技有限公司收购,引发社区广泛关注和安全担忧。由于新接手公司未经公告即修改文档、代码及 Docker 镜像,且存在潜在的供应链投毒风险,用户需采取谨慎措施以确保安全使用。本文总结了在当前情况下继续使用 AList 的具体步骤和注意事项,供用户参考。
背景概况
【提醒】AList 用户请暂缓升级版本
最早,Alist 的官网是 alist.nn.ci,目前其更换为 alistgo.com:
原开发者最近一次更新在5月11日:
从其新官网价格页面的联系方式看到,为贵州不够科技:
而贵州不够科技旗下,还收购过….
从最早质疑这件事情的 issue #8649 来看:
以及上周添加用户设备统计代码(但被撤销):
目前该怎么办?
鉴于目前有些混乱的情况,包括这家公司的黑历史,请各位 Alist 用户不要更新现有部署,新部署就更不推荐了。
AList 是一款广受欢迎的开源网盘聚合工具,支持挂载百度网盘、阿里云盘、OneDrive 等多种云存储服务,提供网页管理和 WebDAV 协议访问。然而,2025 年 6 月初,社区发现 AList 项目发生重大变化:
-
所有权变动:原开发者 Xhofe 疑似将项目出售给贵州不够科技有限公司,并从社交群组中退出。
-
文档与代码修改:中文文档被大幅更改,添加了非技术内容(如微信链接),下载链接和 Docker 镜像被替换。
-
安全担忧:新接手公司曾收购 Hutool 项目并有争议操作,社区担心 AList 可能被植入恶意代码或泄露用户数据。
-
原开发者回应:Xhofe 确认项目已出售,承诺短期内协助审核代码并确保 release 分支由 CI 自动构建,但长期安全性仍存疑。
鉴于此,用户应暂停更新 AList,并采取以下措施以降低风险。
继续使用 AList 的具体措施
1. 回退到安全版本(v3.40.0)
AList 被出售前的版本(2024 年 12 月 7 日,Commit #492b49d)被认为相对安全,建议用户回退到 v3.40.0。操作步骤如下:
-
手动回退:
-
卸载当前版本的 AList。
-
从 GitHub 或可信源下载 v3.40.0 的二进制文件或源码。
-
手动编译或安装,确保不使用最新 Docker 镜像或官方链接。
-
-
Docker 安装:
-
卸载现有 AList 容器,清理相关数据。
-
使用以下 Docker 配置,固定镜像为 v3.40.0:
services: alist: image: 'xhofe/alist:v3.40.0' container_name: alist volumes: - '/etc/alist:/opt/alist/data' ports: - '5244:5244' environment: - PUID=0 - PGID=0 - UMASK=022 restart: unless-stopped -
运行 docker-compose up -d 启动容器。
-
-
验证版本:启动后,登录 AList 管理界面,确认版本为 v3.40.0。
注意:Docker Hub 上的最新镜像可能已被替换,务必指定 v3.40.0 标签。
2. 解除网盘 API 授权
AList 通过闭源 API(alist.nn.ci)挂载网盘,出售后该 API 可能不安全,建议用户解除已授权的网盘绑定,以防数据泄露。受影响的网盘包括 OneDrive、Dropbox、Google Drive、阿里云盘、百度网盘、115 网盘、联通云盘等。具体步骤:
-
OneDrive:
-
访问 https://account.live.com/consent/Manage。
-
找到 AList 应用,点击“移除”或“解除授权”。
-
-
阿里云盘:
-
登录阿里云盘,进入“我的” -> “设置” -> “隐私设置” -> “授权管理”。
-
找到 AList,点击“解除授权”。
-
-
其他网盘:在各自的“设置”或“授权管理”页面中,找到 AList 并移除授权。
建议:自查所有曾通过 AList 挂载的网盘,确保无遗漏。解除授权后,可重新手动配置网盘(若仍需使用),但避免使用 AList 提供的默认 API。
3. 暂停更新并监控社区动态
-
暂停更新:避免使用官方渠道的最新版本或镜像,防止下载到可能被投毒的代码。
-
监控社区:
-
关注 GitHub 上 AList 仓库(https://github.com/alist-org/alist)的 issue 和 PR,留意代码变更。
-
加入可信的社区讨论,如 V2EX、Telegram 或 X 上的 AList 相关话题,获取最新动态。
-
观察原开发者 Xhofe 的后续参与情况,以及社区是否推出分叉项目。
-
-
分叉项目:已有社区成员开始分叉 AList,预计未来可能有独立的维护版本。用户可关注分叉仓库(如 @happyxiaocom 提到的分叉项目)以获取更安全的替代方案。
4. 考虑替代方案
若对 AList 安全性失去信心,可考虑以下替代工具:
-
CloudDrive:支持多种网盘挂载,注重本地化管理。
-
RaiDrive:提供 WebDAV 挂载,适合个人用户。
-
webdav-aliyundriver:专门为阿里云盘设计的 WebDAV 协议工具,配置简单。
-
自建解决方案:使用 Nextcloud 或 Seafile 搭建私有云盘,完全掌控数据。
迁移前,建议备份 AList 中的配置文件和数据,逐步过渡到新工具。
5. 增强本地安全
-
隔离运行环境:在 Docker 或虚拟机中运行 AList,限制其对本地系统的访问权限。
-
网络监控:使用防火墙或网络监控工具,检查 AList 是否向可疑地址发送数据。
-
定期检查:手动验证 AList 的配置文件和日志,确认无异常行为。
注意事项
-
API 依赖风险:AList 部分功能依赖私有 API(api.nn.ci),若新接手公司停止提供服务,可能导致网盘挂载失效。用户需准备手动申请各网盘的 API 密钥。
-
供应链投毒历史:不够科技有限公司曾收购 Hutool 并移除贡献者,社区对其信任度较低。类似案例(如 Oneinstack、LNMP)显示,收购后可能出现恶意代码植入。
-
法律与隐私:检查网盘服务条款,确保通过 AList 挂载未违反使用协议,以免账号被封禁。
-
社区信任危机:原开发者未提前公告出售行为,损害了用户信任。未来使用 AList 或其他国产开源项目时,建议优先选择有透明治理机制的项目。
结论
AList 被出售后,安全性和可持续性面临不确定性。为继续使用,用户应回退到 v3.40.0 版本,解除网盘授权,暂停更新,并密切关注社区动态。同时,探索替代工具和增强本地安全措施是长期解决方案。社区的快速反应(如分叉项目)表明,开源生态仍具活力,用户可通过积极参与和选择可信项目,保障数据安全与使用体验。
原创文章,作者:dakule,如若转载,请注明出处:https://dakule.com/content/159.html
