相信作为NAS用户,对Alist这款开源软件都不会陌生,它能够聚合挂载大部分主流网盘,对于NAS用户来说,可以方便的实现私有云和公有云盘的互通互补。GitHub上近5万star,Docker Hub镜像的拉取次数更是高达5M+(根据Docker官网的显示规则,意味着该项目拉取次数可能在500~999万之间,按开发者在镜像详情提供的截图有7M+),还有一些衍生的:诸如xiaoyaliu的Docker镜像也是高达500万+的拉取次数,以及一些技术大佬专门为各品牌NAS系统打包制作的专用客户端等等……可见其用户量之巨。
事件起因与过程
但是近日该明星开源项目却在网上突然被网友爆出已被原开发者“悄悄”出售给了某商业公司,但该商业公司劣迹斑斑,网上爆出该公司曾在多个知名的开源软件中植入恶意代码的“供应链投毒”黑历史。
![图片[1]-「NAS安全风险提醒」Alist项目已“易主”,你的NAS可能成为“肉鸡”!](https://www.naslab.club/wp-content/uploads/2025/06/1750785158-Alist-warning-1.png)
当大量网友冲向GitHub项目的Issues发帖询问时(遭大量删帖),6月11日开发者仅在tg通知群,简单告知项目已转由公司运营,从通知下方的表情表态中可以看出一众网友的态度,由此爆发了对该项目的“信任门”事件。
![图片[2]-「NAS安全风险提醒」Alist项目已“易主”,你的NAS可能成为“肉鸡”!](https://www.naslab.club/wp-content/uploads/2025/06/1750785159-Alist-warning-2.png)
开源软件一般都是为爱发电,这个是让人敬佩的!为爱发电因各种原因一般都难以持久,之前也有一些开源软件转为商用,但是正常流程应该是积极发布公告,告知该项目的变动,毕竟一个好的项目需要持续发展,盈利是不可或缺的,这是可以让人理解的。而此次事件是因为被网友爆出后,开发者才补充告知项目被卖,从tg群网友的评论中也可以看出用户并不买账。
![图片[3]-「NAS安全风险提醒」Alist项目已“易主”,你的NAS可能成为“肉鸡”!](https://www.naslab.club/wp-content/uploads/2025/06/1750785353-Alist-warning-3.png)
事件时间线(整理自网络)
- 根据域名信息查询显示,alistgo.com于2024年10月注册;
- 2024年11月,官方文档域名替换为alistgo.com;
- 2024年12月,仓库维护权限移交至新账户alist666,READ.ME所有域名重定向到新域名,已经有人猜测项目“易主”;
- 2025年5月底,alist666账户提交了包含“收集运行终端设备信息”的PR,试图收集用户设备信息,随后因引发大量质疑作罢;
- 2025年6月10日,Issues里有用户直接发帖“Alist被卖了吗?”引发大量关注;
- 2025年6月11日,开发者在tg群发布通知,称“项目已交由公司运营”,但并未透露更多细节;同天,alist666账户(此次事件中的商业公司),声称“仅是商业运营合作”,至此引发网上大量讨论;
- 此后有公有云网盘服务商,如123盘已经停止对Alist的支持;
- 2025年6月20日,GitHub Issues和官网发布 “商业计划书”。
看法闲谈
从事件时间线上来看,2024年10月注册域名,已经开始相关操作了,该项目到被爆出已经被卖了半年多之久(两者接洽可能更早)。在被网友爆出项目“被卖”后,作者才”被迫”出来发布通知。更有网友戏称该项目其他的贡献者沦为开源界的“黑奴”,开发者“悄悄”出售项目的行为,可能会打击到开源社区贡献的积极性,对整个开源社区来说是一种隐性伤害。
试想,如果项目易主大大方方提前告知,应该不会引起如此大的反响,这样“悄悄”出售,而且还是出售给劣迹斑斑的商业公司,在被发现时才出来告知,这不得不让人大开脑洞,是否是开发者知晓其中的一些不妥,故而心虚隐瞒,里面各中缘由不得不让人浮想联翩,就像某些网友说的“被卖的不单单是项目,更像是‘用户’”。
![图片[4]-「NAS安全风险提醒」Alist项目已“易主”,你的NAS可能成为“肉鸡”!](https://www.naslab.club/wp-content/uploads/2025/06/1750785165-Alist-warning-4-1024x636.png)
![图片[5]-「NAS安全风险提醒」Alist项目已“易主”,你的NAS可能成为“肉鸡”!](https://www.naslab.club/wp-content/uploads/2025/06/1750785170-Alist-warning-5.png)
从发布的“商业计划书”来看,想要嵌入AI功能,而该计划书更是被网友吐槽为AI生成的文章,有网友拿去检测,被判定为100% AI生成……,可以想象“悄悄”收购了半年的项目,商业计划应该一直没有,计划书也是AI临时生成用来堵住悠悠众口,多么敷衍了事?
网盘聚合工具加AI功能,大部分运行Alist工具的设备性能都比较孱弱,根本无法支撑当前AI模型对设备的最低要求,对用户的实际意义到底有多大?或者对“劣迹公司”的意义更大,比如把用户的设备当做边缘计算或AI计算的“肉鸡”?
因笔者接触NAS比较早,早在2010年的时候就负责管理公司的企业级NAS,也被迫经历过多次公有云网盘“倒闭”事件,所以早已将数据本地化到NAS上,除了体验、了解这类网盘软件功能,几乎不在NAS上长期运行它们,所以对于像我这类的老NAS玩家几乎没什么影响。
由于近些年消费级NAS逐渐普及,导致“黑产”也盯上的NAS用户,NAS中毒事件也时有发生,如果一些程序中含有“恶意代码”,那么NAS将会沦为“肉鸡”,一台长期开机运行的“肉鸡”对于“黑产”来说是相当有价值的。
用户“自救”
如果用户更注重安全性,建议弃用,并将各个网盘的授权管理中删除Alist;如果确实无法摒弃该软件,建议降级处理,按网上其他用户的说法,最后一个可能安全的版本为3.40.0(对该说法持观望态度),NAS研玩社的站内网盘也提供了对应版本的Docker镜像。
因站内有多个用户私信,需要威联通旧版3.40.0版专用安装包,NAS研玩社的站内网盘现也已提供,该专用安装包来自于bbis大佬发布。
现在也有大佬已经将原项目fork后,做了新的开源项目,在GitHub上已推出OpenListTeam/OpenList,该项目宣称“致力于构建一个更可信、可持续的 AList 开源替代方案,防范未来可能的闭源、黑箱或不可信变更。”未来应该可以作为Alist的平替。
最后
无论如何,还是要感谢各类开源项目的作者和贡献者,为爱发电不易,一个开源项目成长壮大也不容易。但是当项目出现重大变动时,还是期望开发者们能够积极、透明、公开地与大家交流,相信大家都会予以理解。未来该项目会如何走向,只待静观其变了,这么好的项目突发信任危机,甚至伤害到开源社区真是非常可惜!
请登录后查看评论内容