站内交易每日签到周边相关
收藏本站切换到宽版
  • 论坛NaixiBBS
  • 扩展Fun
  • 商店Shop
  • 动态Space
  • 任务Task
    • 注册
    奶昔论坛»论坛 交流 日常 Alist风险提示及替代讨论
    返回列表 发布新帖
    查看: 498|回复: 9

    Alist风险提示及替代讨论

    nicexi
    发表于 2025-6-11 07:47:40 | 查看全部 |阅读模式

    欢迎注册账号,享受无广告更清爽的界面!

    您需要 登录 才可以下载或查看,没有账号?注册

    ×
    本帖最后由 nicexi 于 2025-6-11 07:48 编辑

    昨日鸡圈传出alist暴雷的消息,目前能确定的是alist 3.39.4及以下还是安全的 不排除后续是否会出现同版本替换,建议是改完后建议将Docker导出一份备份 以防万一
    fakename.png
    issue说新版本已经加入用户信息收集了
    fakename.png
    我还是停留在老版本,自从以sftp支持为由,引入alist自己的私钥认证,就不敢升级了
    目前能用的私有化部署还有zfile、zdir、Cloudreve、owncloud、seafile,但zdir免费版、zfile免费版不支持webdav可以排除了
    爱生活,爱奶昔~
    回复

    使用道具 举报

    heardic
    发表于 2025-6-11 07:50:59 | 查看全部
    原镜像https://hub.docker.com/r/xhofe/alist/tags ,现在docker部署已经被这个傻狗公司换了链接了。还有其他的魔改版本可以看一下:https://github.com/li-peifeng/iSweet
    贵州不够科技有限公司
    地址:贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
    法人:师玉玺(名下另有贵州穹界盾构信息安全有限公司)
    参保人数:4(23年年报数据)
    官方微信号:bugotech
    联系电话:18096054816(来源爱企查,存疑,和qq邮箱相同但确实是个贵阳归属电话)
    联系邮箱:[email protected](来源爱企查,反查到有好几个贵州的公司也是这个联系邮箱)
    注册资本:50万 实缴未知

    另:该公司与hutool事件相关联
    再另:D指导指出,在中国法律框架下移除提交权限可能涉及侵犯著作权中的修改权;移除代码署名设计侵犯著作权中的署名权。建议贡献者(尤其是有钱有闲的)可以盯着代码仓库出现上述情况直接起诉,不蒸馒头争口气,给该公司添添堵。
    再再另:试图提交上传用户信息代码的alist666账号,于2024.12.07修改了readme,可以推测项目从此时就已经卖出去了,3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    zezhiya
    头像被屏蔽
    发表于 2025-6-11 07:53:05 | 查看全部
    现在issues基本上没有开发者回复了,新拉取的镜像小心一点。另外联系方式明显不对劲
    fakename.png
    这个公司还曾在另一个开源项目hutool被卖掉时出现过一次,而且api.nn.ci接口可能不会维护
    不过更改之前的文档有人备份:https://github.com/JerryHan3/purified-alist-docs
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    pbby
    发表于 2025-6-11 07:59:17 | 查看全部
    本帖最后由 pbby 于 2025-6-11 08:00 编辑
    heardic 发表于 2025-6-11 07:50
    原镜像https://hub.docker.com/r/xhofe/alist/tags ,现在docker部署已经被这个傻狗公司换了链接了。还有其 ...


    这公司的菲律宾主体早就在上个月被美国商务部制裁了,另外那个半夜跳广告的51.la统计工具也是那团队整的活
    https://china.usembassy-china.or ... y-investment-scams/
    https://www.ic3.gov/CSA/2025/250529.pdf
    美国对一家设在菲律宾的公司Funnull Technology Inc.(又名方能CDN)及其管理者Liu Lizhi(刘理志)实施制裁,该公司为虚拟货币投资诈骗提供关键计算机基础设施,刘理志为中国公民。虚拟货币投资诈骗活动给美国民众造成了严重的经济损失。此次制裁对象与美国受害者所报告的超过2亿美元损失直接相关,每位受害者的平均损失超过15万美元。

    现在Alist的群主都是hutool了
    fakename.png
    图来自tg群:https://t.me/alist_chat/1245378
    fakename.png
    说起hutool,当年也是震惊java圈
    fakename.png

    Alist文档中的下载链接被修改 目前最新版的docker也被修改过
    fakename.png
    联系不上开发者,Alist官方TG群已经闹开了 另外alist的桌面版程序也被打包出售了
    fakename.png
    Alist所有权疑似变动,注意代码风险 中文文档内加入了微信链接等非技术内容,官网与下载地址被更换
    注:新更新的腾讯云cos链接,被腾讯云以文件非法为由封禁
    只能说以后国内的开源软件也得绕道走了,真的玩不起,存储这种东西投毒造成的伤害可太大了,真的无语

    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    nicexi
     楼主| 发表于 2025-6-11 11:03:11 | 查看全部
    这种开源项目卖了有什么意义吗?源码都有,大家也都能fork
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    cc3
    发表于 2025-6-11 11:04:56 | 查看全部
    nicexi 发表于 2025-6-11 11:03
    这种开源项目卖了有什么意义吗?源码都有,大家也都能fork

    fork了有啥用,fork了也只不过是只能看着…
    而且Alist获取token的很多api都是跑在原作者那里的,115open的接口也是作者申请的,这些我们fork下来都解决不了
    附文档联系方式变更
    fakename.png
    如果是真的,实在是,太离谱了,说实话有点震惊,也有点悲哀。作为一个网安领域的研究生,在读研期间就发觉做的数据隐私安全保护到头来保护不了任何隐私,国内环境下没有任何隐私可言,但这种体会终是象牙塔里往外观,没切实了解到现实中真实的安全威胁场景。看完这个真的是无言良久,最终只能叹口气然后当吃瓜事件来看待,无力
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    brody
    发表于 2025-6-11 11:09:06 来自手机 | 查看全部
    卸载
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    Lau
    发表于 2025-6-11 13:46:49 | 查看全部
    先退回3.9.4了
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    bibib
    发表于 2025-6-11 14:48:03 | 查看全部
    没用过,不知道用来干嘛
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    发表于 2025-6-11 16:00:11 | 查看全部
    吓得我赶紧卸下网盘,就剩一个天翼云盘挂载着
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    返回列表 发布新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    相关网站

    9eSIM Xesim (原5ber) eSIM.GG RedteaGO

    站内导航

    奶昔SSO 奶昔超市 数字证书 奶昔云盘

    商业推广

    商家申请规则 Apply for Provider 合作商家展示 广告招商
    • 卡粉专属群
    • 官方电报群
    © 2025 Naixi Networks 沪ICP备13020230号-1|沪公网安备 31010702007642号
    关灯 在本版发帖
    扫一扫添加微信客服
     返回顶部
    快速回复 返回顶部 返回列表