Alist风险提示及替代讨论
本帖最后由 nicexi 于 2025-6-11 07:48 编辑昨日鸡圈传出alist暴雷的消息,目前能确定的是alist 3.39.4及以下还是安全的 不排除后续是否会出现同版本替换,建议是改完后建议将Docker导出一份备份 以防万一
据issue说新版本已经加入用户信息收集了
我还是停留在老版本,自从以sftp支持为由,引入alist自己的私钥认证,就不敢升级了
目前能用的私有化部署还有zfile、zdir、Cloudreve、owncloud、seafile,但zdir免费版、zfile免费版不支持webdav可以排除了 原镜像https://hub.docker.com/r/xhofe/alist/tags ,现在docker部署已经被这个傻狗公司换了链接了。还有其他的魔改版本可以看一下:https://github.com/li-peifeng/iSweet
贵州不够科技有限公司
地址:贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
法人:师玉玺(名下另有贵州穹界盾构信息安全有限公司)
参保人数:4(23年年报数据)
官方微信号:bugotech
联系电话:18096054816(来源爱企查,存疑,和qq邮箱相同但确实是个贵阳归属电话)
联系邮箱:18096054816@qq.com(来源爱企查,反查到有好几个贵州的公司也是这个联系邮箱)
注册资本:50万 实缴未知
另:该公司与hutool事件相关联
再另:D指导指出,在中国法律框架下移除提交权限可能涉及侵犯著作权中的修改权;移除代码署名设计侵犯著作权中的署名权。建议贡献者(尤其是有钱有闲的)可以盯着代码仓库出现上述情况直接起诉,不蒸馒头争口气,给该公司添添堵。
再再另:试图提交上传用户信息代码的alist666账号,于2024.12.07修改了readme,可以推测项目从此时就已经卖出去了,3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。 现在issues基本上没有开发者回复了,新拉取的镜像小心一点。另外联系方式明显不对劲
这个公司还曾在另一个开源项目hutool被卖掉时出现过一次,而且api.nn.ci接口可能不会维护
不过更改之前的文档有人备份:https://github.com/JerryHan3/purified-alist-docs 本帖最后由 pbby 于 2025-6-11 08:00 编辑
heardic 发表于 2025-6-11 07:50
原镜像https://hub.docker.com/r/xhofe/alist/tags ,现在docker部署已经被这个傻狗公司换了链接了。还有其 ...
这公司的菲律宾主体早就在上个月被美国商务部制裁了,另外那个半夜跳广告的51.la统计工具也是那团队整的活
https://china.usembassy-china.org.cn/zh/targeting-a-major-backer-of-virtual-currency-investment-scams/
https://www.ic3.gov/CSA/2025/250529.pdf
美国对一家设在菲律宾的公司Funnull Technology Inc.(又名方能CDN)及其管理者Liu Lizhi(刘理志)实施制裁,该公司为虚拟货币投资诈骗提供关键计算机基础设施,刘理志为中国公民。虚拟货币投资诈骗活动给美国民众造成了严重的经济损失。此次制裁对象与美国受害者所报告的超过2亿美元损失直接相关,每位受害者的平均损失超过15万美元。
现在Alist的群主都是hutool了
图来自tg群:https://t.me/alist_chat/1245378
说起hutool,当年也是震惊java圈
Alist文档中的下载链接被修改 目前最新版的docker也被修改过
联系不上开发者,Alist官方TG群已经闹开了 另外alist的桌面版程序也被打包出售了
Alist所有权疑似变动,注意代码风险 中文文档内加入了微信链接等非技术内容,官网与下载地址被更换
注:新更新的腾讯云cos链接,被腾讯云以文件非法为由封禁
只能说以后国内的开源软件也得绕道走了,真的玩不起,存储这种东西投毒造成的伤害可太大了,真的无语
这种开源项目卖了有什么意义吗?源码都有,大家也都能fork nicexi 发表于 2025-6-11 11:03
这种开源项目卖了有什么意义吗?源码都有,大家也都能fork
fork了有啥用,fork了也只不过是只能看着…
而且Alist获取token的很多api都是跑在原作者那里的,115open的接口也是作者申请的,这些我们fork下来都解决不了
附文档联系方式变更
如果是真的,实在是,太离谱了,说实话有点震惊,也有点悲哀。作为一个网安领域的研究生,在读研期间就发觉做的数据隐私安全保护到头来保护不了任何隐私,国内环境下没有任何隐私可言,但这种体会终是象牙塔里往外观,没切实了解到现实中真实的安全威胁场景。看完这个真的是无言良久,最终只能叹口气然后当吃瓜事件来看待,无力 卸载 先退回3.9.4了 没用过,不知道用来干嘛 吓得我赶紧卸下网盘,就剩一个天翼云盘挂载着
页:
[1]