AList 维护者失联后项目失控,供应链投毒风险严重
早就听说过 Alist 这个项目但没用过,也不是很了解,看大家的评论感觉这个项目部署后还要请求人家的接口才能用,核心功能不开放,这个开源感觉开了个寂寞… 目前最大的问题在于, 使用的回调 API 也不受控了, 所有涉及到的服务, 包括 OneDrive 等的机密信息都可能被泄露,应当立即吊销!以后用开源项目特别是国内开发者主导的都要慎重,已经有好几个好用的开源项目被突然卖了,供应链投毒风险严重!https://hub.docker.com/r/xiaoyaliu/alist 这个,我看dockerhub 这个用的人多而且更新时间也很长了,没什么区别和本体,我纯属规避风险。现在GitHub上的issue也炸了:https://github.com/AlistGo/alist/issues/8649
试图提交上传用户信息代码的alist666账号,于2024.12.07修改了readme,可以推测项目从此时就已经卖出去了,3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。应该跟 onestack lnmp 一样卖了,后续准备投毒
有大佬已经开始接手创立新组织了:AlistTeam 欢迎大佬们来贡献! (我只是个传话筒,希望是一次投毒事件吧,别是开源作者做不下去了卖掉了(当然我不会怪作者,我只会可惜又一个开源项目做不下去了) 贵州不够科技有限公司
地址:贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
法人:师玉玺(名下另有贵州穹界盾构信息安全有限公司)
参保人数:4(23年年报数据)
官方微信号:bugotech
联系电话:18096054816(来源爱企查,存疑,和qq邮箱相同但确实是个贵阳归属电话)
联系邮箱:18096054816@qq.com(来源爱企查,反查到有好几个贵州的公司也是这个联系邮箱)
注册资本:50万 实缴未知
另:该公司与hutool事件相关联
再另:D指导指出,在中国法律框架下移除提交权限可能涉及侵犯著作权中的修改权;移除代码署名设计侵犯著作权中的署名权。建议贡献者(尤其是有钱有闲的)可以盯着代码仓库出现上述情况直接起诉,不蒸馒头争口气,给该公司添添堵。
再再另:试图提交上传用户信息代码的alist666账号,于2024.12.07修改了readme,可以推测项目从此时就已经卖出去了,3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。
再再另:在中国的法律框架下,依据现有最高法指导案例,AGPLv3 Licence在法律上被视为双向的授权合同,一旦该公司推出了闭源等违反AGPLv3 License的版本,则涉及侵犯Contributor的代码版权问题(违反licence导致法律上的代码授权被收回,涉及未经许可擅自复制、修改、发行软件),除非该公司移除该部分代码或者重构。另外,如果重构代码则雷同度不能太高,否则算作抄袭。(代码在法律上被视作文学作品,所以大家其实都是文学家) 以防大家不知道或者以后忘记 alist666 干了什么
最搞笑的是他们以为用国内删帖那些手段在国外社区平台上还行得通,说真的这个认知能力不适合注册 Github 账号。
1. 提交 PR 采集部署 AList 机器的信息:
1. (https://forum.naixi.net/goto.php?url=https%3A%2F%2Fgithub.com%2FAlistGo%2Falist%2Fpull%2F8633%2Ffiles)
2. (https://forum.naixi.net/goto.php?url=https%3A%2F%2Fweb.archive.org%2Fweb%2F20250611064045%2Fhttps%3A%2F%2Fgithub.com%2FAlistGo%2Falist%2Fpull%2F8633)
2. 删 issue
1. 原页面抓不到了,只找到了截图https://i.111666.best/image/IoNgT2ZsJiyviPCzU0NTmx.png
2. 原页面链接 [#8654](https://forum.naixi.net/goto.php?url=https%3A%2F%2Fgithub.com%2FAlistGo%2Falist%2Fissues%2F8654)
3. 删评论
1. [原页面](https://forum.naixi.net/goto.php?url=https%3A%2F%2Fgithub.com%2FAlistGo%2Falist%2Fissues%2F8659)
2. [备用页面](https://forum.naixi.net/goto.php?url=https%3A%2F%2Fweb.archive.org%2Fweb%2F20250611064211%2Fhttps%3A%2F%2Fgithub.com%2FAlistGo%2Falist%2Fissues%2F8659)
4. 修改中文文档中的 docker 镜像地址(对,这货只改了中文文档的,英文文档的没改,是不会英语吗?修改人是
JoaHuang
,这又是谁?)
1. [中文文档修改记录](https://forum.naixi.net/goto.php?url=https%3A%2F%2Fgithub.com%2FAlistGo%2Fdocs%2Fcommit%2F0685402ba0334041706abf2b96173c1f9f748b12)
2. [英文文档](https://forum.naixi.net/goto.php?url=https%3A%2F%2Fgithub.com%2FAlistGo%2Fdocs%2Fblob%2Fmain%2Fdocs%2Fguide%2Finstall%2Fdocker.md)
如果看完这些还有人相信 alist666 以及贵州不够科技有限公司的职业道德、技术水平、运营能力,我觉得您是对的,这边建议您给`师玉玺`投简历,联系电话`18096054816`。
另外冤有头债有主,`dapi.alistgo.com` 这个域名的解析结果是 `47.238.215.231`,以防他们删除解析记录之后有些正义人士找不到记录。
```
const urlSystemInfo = "https://dapi.alistgo.com/v0/system/info"
```
阿里云ip 早就进黑洞了吧 确实是有这种问题,都商业化了
页:
[1]