原链接 https://www.landiannews.com/archives/109316.html
非常知名的开源网盘应用 Alist 目前疑似被卖,目前中文文档已经被大幅度修改且添加 QQ 群信息,这些 QQ 群和所谓的 VIP 技术支持似乎都是买家新增的东西。
购买 Alist 的公司名为不够科技 (贵州),原开发者 Xhofe 似乎也已经从所有社交群组中退出并且不再回复相关问题,这种情况与此前 LNMP 等安装包被不声不响收购非常相似。
![[安全警告] 开源网盘应用Alist疑似被卖 请暂停更新以免出现供应链投毒](data/attachment/forum/202506/11/180337krzcx3wxlh1ll1d0.png)
相关讨论:https://github.com/AlistGo/alist/issues/8649
从提交的 PR 来看,购买方似乎还在项目里添加用户收集操作系统数据的代码,而新发布的 Alist 桌面版官方链接指向腾讯云 COS 对象存储 (还被腾讯检测出来侵权而文件被**)。
从目前已知情况来看 Alist 被出售几乎是肯定的,既然有人愿意出钱购买这个开源项目,那接下来肯定要利用项目盈利,是否还会继续开源提供都是个未知数。
但最大的问题在于供应链投毒风险,正常情况下说如果收购开源项目,完全可以正大光明的发布公告进行说明,而不是偷偷替换组织和开发者然后直接修改各种项目代码。
不够科技此前还收购 Java 工具库 Hutool,目前无法判断该公司的声誉以及是否可能对 Alist 项目进行投毒以实现其他目的,目前来看这家公司应该和此前收购 Oneinstack 和 LNMP 的金华某公司没有关联。
当时金华某公司收购 Oneinstack 和 LNMP 后就尝试进行投毒并被安全公司发现,如果 Alist 项目也遭到投毒的话,那潜在影响也同样非常巨大,在这里也建议各位用户暂缓更新。
![[安全警告] 开源网盘应用Alist疑似被卖 请暂停更新以免出现供应链投毒](https://img.lancdn.com/landian/2025/06/109316-1.png)
