AList 项目“易主”全始末:从暗流涌动到舆论风暴
这篇文章汇总了近期 AList 被曝“悄然出售”事件的关键节点,结合公开信息与社区讨论,对事件缘由、法律争议、潜在风险以及普通用户的应对策略做一次系统梳理。
1 事件时间线
| 日期 | 关键动作 | 说明 |
|---|---|---|
| 2024-10-14 | 注册 alistgo.com |
WHOIS 查询显示,当天完成注册并开启转移保护。 |
| 2024-11-12 | 官方文档域名替换 | AList 文档陆续将原域名替换为 alistgo.com,但并未在仓库公告中说明原因。 |
| 2024-12-07 | GitHub 所有权交接 | 新账号 alist666 获得仓库维护权限,更新 README 并全部重定向至新域名;社区开始出现“被卖”猜测。 |
| 2025-05-29 | 争议 PR #8633 | alist666 提交“收集服务器配置信息”PR,试图将用户系统信息上报到指定地址;随后在舆论压力下关闭。 |
| 2025-06-10 | Issue #8649 引爆 | 社区用户集中质疑项目已被出售、官网 404、文档大改等问题,“AList 被卖了吗?”冲上 GitHub 热榜。 |
| 2025-06-11 | 原作者 TG 侧面承认 | 在 Telegram 频道表示“已将项目交由公司运营”,未透露交易细节。 |
| 2025-06-11 | alist666 发声 |
在 Issue #8649 评论中称“仅是商业运营合作”,但未能平息质疑。 |
2 幕后公司与历史“投毒”争议
-
贵州不够科技有限公司
-
公开资料显示,该公司曾于 2025 年初收购 Hutool 并引发权限争议。cloud.tencent.com.cn
-
社区传言其相继拿下 LNMP、Oneinstack 等项目,均伴随“闭源/投毒”风波(不过目前线索是一家名为:金华矜贵)。
-
-
资金逻辑:AList 拥有 500 万+ Docker 镜像下载量和庞大存量用户,远比“再造一个 AList”更具变现价值。
3 法律与合规层面的三大焦点
-
著作权归属
-
若原作者拥有主要著作权,可单方转让;但必须在原许可证(AGPL-3.0)框架内继续开源。
-
-
贡献者署名权
-
移除他人署名、改写仓库提交历史,可能触及《著作权法》关于“保护署名”的强制性条款。
-
-
隐私合规
-
争议 PR 若将用户系统信息回传至私有服务器,需满足《个人信息保护法》等合规要求,否则属于非法收集。
-
4 为什么社区反应如此强烈?
| 诱因 | 具体表现 |
|---|---|
| 敏感数据风险 | AList 运行过程中会保存网盘 Token、Cookie 等私密信息,一旦被“暗桩”收集,后果严重。 |
| 信任透支 | 交接过程不透明:无公告、无 Roadmap、关键 PR 涉及数据上报。 |
| 既有用户基数大 | Docker 官方镜像 xhofe/alist 累计下载已超 500 万次;改用 alist666/alist 镜像的部署指令令众多新手踩坑。 |
5 普通用户应该怎么做?
| 场景 | 建议 |
|---|---|
| 仍在使用最新版本 (≥ v3.41) | 立即回滚至 v3.40.0 或更早的“前交接”版本;自建编译可进一步降低风险。 |
已部署 alist666/alist 镜像 |
核查容器运行参数,留意是否存在可疑外联;必要时重建镜像并清理 Token。 |
| 观望升级 | 暂停自动更新,关注社区 Fork(如 alist-org/alist)动态,选择活跃且透明的分支。 |
| 关心隐私 | 为 AList 所在服务器加装 DNS 防火墙或透明代理,监控异常流量。 |
6 事件后续走向(可能的剧本)
-
官方发长文澄清 & 重新开 Roadmap — 挽回部分信任,但难除数据疑云。
-
社区 Fork 分裂 — 像当年 OpenWrt/Lede 那样形成“民间维护版”,大量用户迁移。
-
合规调查 — 若证实未经同意收集个人信息,相关公司或将面临监管处罚。
7 写在最后
AList 的成功,源于开源社区三年来的持续贡献;而信任崩塌,往往只需一次黑箱操作。对于依赖 AList 的个人站长与 NAS 玩家,最重要的是立刻评估自身风险、采取可控措施,并持续关注社区进展。
开源不是免费的午餐,更不是可以随意交易的流量资产。它需要透明、尊重与契约,才能长久运行。
特别提醒:本文上面的内容是AI基于下面的大纲内容整理生成的!
前天AList的被原作者悄悄出售事情,闹得沸沸扬扬!这里博主粗略的梳理一下时间线!
时间线
24年10月14日
新注册域名:alistgo.com
新注册Github账号:alist666
24年11月12日
AList官方文档域名开始替换为 alistgo.com
24年12月07日
alist666开始接管AList开源仓库,并着手修改README内容,全部重定向到新域名
25年05月29日
收集上报服务器配置信息的PR:https://github.com/AlistGo/alist/pull/8633
由于后续AList被卖的事件爆发,alist666已拒绝这个PR的合并。
25年6月10日
AList仓库有人发issues质疑开源项目已经被卖。
项目是被卖了吗?
项目本身出现奇怪的 pr,是统计操作系统的信息然后发送到特定的网站
隔壁 docs 的文档被大改,持续两个星期了
现在官网甚至都已经 404 了
随后有人发现修改的文档留的联系方式是来自:贵州不够科技有限公司。该公司与前几个月的hutool事件相关联!
25年6月11日
AList原作者在TG频道中承认,项目已经“交”给公司运营。
随后AList仓库的控制者:alist666 也说明情况,issues地址:https://github.com/AlistGo/alist/issues/8649#issuecomment-2961010644
不过明显 alist666 被骂惨了!
持续发酵
Q:背后的金主?有黑历史?
贵州不够科技有限公司
贵州省贵阳市一家公司,前不久收购hutool 以及后续事件(大家可自行搜索)
有网友说:oneinstack, lnmp也是 这家公司收购?根据目前的线索来看oneinstack, lnmp是金华矜贵收购。
Q:开源项目有众多代码贡献者,开源项目控制人能否直接"出售" 该项目?
从法律角度来看,开源项目的控制人(如项目发起人或核心维护者)是否有权出售项目,取决于以下几个因素:
著作权归属:如果控制人拥有项目的全部或主要著作权,理论上可以将其著作权转让给他人,包括通过出售项目的方式。
开源协议的限制:开源项目通常遵循特定的开源许可证,如 GPL、MIT、Apache 等。这些许可证赋予用户在特定条件下使用、修改和分发代码的权利。出售项目时,新的控制人必须继续遵守原有的开源许可证,不能将项目闭源或限制原有用户的权利 。
社区贡献者的权益:许多开源项目是由多个贡献者共同开发的。虽然贡献者通常在提交代码时同意将其代码纳入项目并遵循项目的许可证,但在项目出售时,原控制人应尊重贡献者的权益,避免侵犯其著作权或违反原有的贡献协议。
Q:为什么AList易主,网络反应这么大?
AList开源仓库是2021年发布的:AList 基于阿里云盘的个人网盘目录列表程序
那些年类似的开源仓库挺多的比如 oneindex,TeambitionShare, GoIndex 等等。AList最开始支持阿里云盘,随着阿里云盘持续砸钱宣传,送容量,搞活动。AList也被大家持续关注,支持的网盘更多了。
这种AList程序由于涉及到敏感网盘账号密码 和 Cookie,一旦AList收集用户敏感数据,被恶意利用后果非常严重。
目前AList用户量非常大!AList Docker镜像已经被下载 500W+
alist666用户发布的Docker镜像 已经被下载 4000次了!
最后总结
从时间线上看,收购AList的事情从去年10月份就已经逐步开始了!
商家无利不起早,商家看上了AList的什么了?
是代码?完全开源按开源协议弄一套就行了!
网盘多?对接各种网盘的API需要长期维护,为爱发电么?
很明显,Ta看上的肯定是AList的存量用户!
如何将存量用户变现?
第一,继续开发AList商业版,慢慢将免费用户转付费。
第二,收集“韭菜”敏感数据,然后......
反正近期有更新AList的用户,尽量更换旧版本。大家多观望观望看看其他开源仓库。
版权声明:
作者:我是小马甲~
链接:https://fandai.gezi.workers.dev/18898.html
来源:如有乐享
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论