突传出售:明星项目的无声 “叛逃”#
就在这几天,开源社区突传爆炸性消息:49.8K Star 的网盘聚合工具 Alist 已被整体出售。
事件导火索源于用户发现其官方域名从 alist.nn.ci 悄然更换为 alistgo.com,中文文档被大规模修改,新增商业化内容(如 VIP 技术支持 QQ 群、付费定价策略),而原开发者 Xhofe 突然从所有社群消失且长期沉默。
更令用户警觉的是,新提交的代码中出现设备数据收集模块(后因社区抗议被紧急撤回),桌面版下载链接甚至指向腾讯云 COS 存储(因侵权遭封禁)。这些异常操作与开源透明度背道而驰,迅速点燃社区质疑。
原开发者回应:沉默后的 “有限承诺”#
面对社区声浪,原开发者 Xhofe 于 6 月 11 日首次回应,但声明内容引发更大争议:
“项目已交由公司运营,之后我会帮忙审查开源版本仓库的代码,确保 release 由 CI 自动构建,main 分支已开启保护,后续提交需经 PR 审核。”
该回应被指避重就轻:
-
未否认出售事实,仅模糊承认 “移交公司运营”;
-
未披露交易细节,收购方身份、金额、用户数据归属均未说明;
-
审查权限存疑:所谓 “帮忙审查” 是否具备实际约束力遭强烈质疑,甚至还有网友调侃:“不会连账号都卖了吧?”
未否认出售事实,仅模糊承认 “移交公司运营”;
未披露交易细节,收购方身份、金额、用户数据归属均未说明;
审查权限存疑:所谓 “帮忙审查” 是否具备实际约束力遭强烈质疑,甚至还有网友调侃:“不会连账号都卖了吧?”
社区担忧,创始人此举实则为商业化让路,而 “分支保护” 承诺难以抵挡资本主导的代码控制权。
起底接盘方:不 G 科技的 “投毒黑历史”#
这次收购方贵州不 G 科技成为舆论焦点,其过往操作堪称开源界的 “信任杀手”:
为了避免文章被投诉,隐去新东家公司的名字。大家很容易就查到。🐶
争议收购史与投毒嫌疑
- Hutool 工具库:收购后频繁推送异常更新,被开发者举报存在 “非必要依赖注入”,疑为捆绑推广或后门铺垫;
- LNMP 一键安装包:金华某公司(与不 G 科技关联存疑)收购后植入恶意脚本,秘密收集服务器信息,后被安全公司拦截曝光;
- Oneinstack:同样陷入 “静默更新夹带私货” 风波,用户直指其 “供应链投毒模式”。
Hutool 工具库:收购后频繁推送异常更新,被开发者举报存在 “非必要依赖注入”,疑为捆绑推广或后门铺垫;
LNMP 一键安装包:金华某公司(与不 G 科技关联存疑)收购后植入恶意脚本,秘密收集服务器信息,后被安全公司拦截曝光;
Oneinstack:同样陷入 “静默更新夹带私货” 风波,用户直指其 “供应链投毒模式”。
该公司惯用 “收购 → 改文档 → 推付费 → 闭源” 四步策略:
- 修改项目主页强推自有产品(如本次 Alist 文档新增 Vi**ub 广告);
- 火速上线付费版本(AList 桌面版定价 39.99 元);
- 限制开源功能,将核心服务转向私有化 API(如 Alist 依赖的 api.nn.ci 服务未来可能停用)。
修改项目主页强推自有产品(如本次 Alist 文档新增 Vi**ub 广告);
火速上线付费版本(AList 桌面版定价 39.99 元);
限制开源功能,将核心服务转向私有化 API(如 Alist 依赖的 api.nn.ci 服务未来可能停用)。
有网友提示:此类操作本质是 “开源劫持”,通过控制基础设施实现用户数据变现。
社区自救:分叉与防御指南#
面对系统性信任崩塌,用户正多线行动:
- 暂缓更新:多家技术媒体呼吁冻结 Alist 版本至 v3.40.0 前,避免供应链投毒风险;
- 分叉重生:核心贡献者 xrgzs 已发起 Fork 项目(社区称 “黑奴起义”),Zfile 等替代方案热度飙升;
- 数据隔离:建议解绑敏感网盘账户,启用独立 API 密钥,减少依赖集中式服务。
暂缓更新:多家技术媒体呼吁冻结 Alist 版本至 v3.40.0 前,避免供应链投毒风险;
分叉重生:核心贡献者 xrgzs 已发起 Fork 项目(社区称 “黑奴起义”),Zfile 等替代方案热度飙升;
数据隔离:建议解绑敏感网盘账户,启用独立 API 密钥,减少依赖集中式服务。