严重！alist已被卖投毒！ 还是熟悉的贵州某公司

dole

原开发者Xhofe已经不在讨论群里，在价格中的技术支持已经被替换到投毒者，请注意！

https://linux.do/t/topic/714827/4

妈蛋，半个月前我拉docker，还奇怪以前用的xhofe怎么换了个alist666这么随意的名字，然后x86怎么也跑不起来，原来是镜像地址被换了。（https://t.me/zrj96/30658）

似乎确认alist被卖了，悄无声息，在开源代码里塞私货。
alist首页技术支持为贵州某公司，贵州某公司有个 https://hutool.cn/ 的项目，也是被接手的项目，网站首页技术支持挂了个oneinstack，之前lnmp和oneinstack也是被贵州某公司拿下，难道是一伙人？
我头大了，有能力的大佬可以挖挖。（https://t.me/zrj96/30659）

经典军哥剧情 MJJ注意了 然后顺便提醒下极光面板有漏洞 记得去更新下

dole

大佬的全备份 快fork
https://github.com/BlueSkyXN-Backup/alist/releases/tag/v3.40.0

dole

各个网盘如何取消Alist授权（https://forum.naixi.net/thread-4387-1-1.html）
115网盘取消授权：https://115.com/?mode=device_manage
阿里云盘取消授权：设置–>隐私设置—>授权管理
百度云盘取消授权：个人中心-账户管理-授权管理-alist https://passport.baidu.com/accountbind)
onedrive个人版：https://account.live.com/consent/Manage
联通云盘取消授权： - 在网页查询登录账号 - 以后建议 按照 教程抓包登录
dropbox取消授权：https://www.dropbox.com/account/connected_apps找到alist授权点Disconnect
onedrive E5取消授权：https://entra.microsoft.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade/quickStartType~/null/sourceType/Microsoft_AAD_IAM?Microsoft_AAD_IAM_legacyAADRedirect=true
点击所有应用程序，删除所有alist相关程序即可

坚果云解绑：左上角三横杠 - 设置 - 第三方应用管理 - 撤销授权
一、撤回 OAuth 授权访问权限（用户授权部分）
Google 撤销已授权的应用
打开授权管理页面：https://myaccount.google.com/permissions
找到你要撤销的应用（例如你自己开发的 OAuth 应用或第三方应用）
点击应用 → 点击 “移除访问权限”
Microsoft 撤销已授权的应用
打开授权管理页面：登录你的 Microsoft 帐户
找到你要撤销权限的应用
点击 “编辑” 或 “移除这些权限” 即可
二、撤回 API 客户端 ID 和密钥（开发者后台）
Google Cloud Console
打开 Google Cloud 控制台：https://console.cloud.google.com/apis/credentials
找到你创建的 OAuth 2.0 客户端 ID 和密钥
点击删除图标（垃圾桶）或选择“禁用”按钮来撤销
如需彻底作废密钥，建议直接点击 删除。

doruison

yrj 发表于 2025-6-11 08:41
开源作者很难坚持住为爱发电，所以卖项目也是情有可原，要怪只能怪法律的不完善。 ...

法律再完善了又如何，哪里不合适？？？
开源项目账号不能卖？？？不服气你自己fork
开源项目不能有广告？？？
目前来看开发者的行为在任何正常国家都找不到违法的地方。

buste

只能说以后国内的开源软件也得绕道走了，真的玩不起，存储这种东西投毒造成的伤害可太大了，真的无语

kk321520

https://china.usembassy-china.org.cn/zh/targeting-a-major-backer-of-virtual-currency-investment-scams/
https://www.ic3.gov/CSA/2025/250529.pdf
美国对一家设在菲律宾的公司Funnull Technology Inc.（又名方能CDN）及其管理者Liu Lizhi（刘理志）实施制裁，该公司为虚拟货币投资诈骗提供关键计算机基础设施，刘理志为中国公民。虚拟货币投资诈骗活动给美国民众造成了严重的经济损失。此次制裁对象与美国受害者所报告的超过2亿美元损失直接相关，每位受害者的平均损失超过15万美元。

有点儿意思

贵州不够科技有限公司
地址：贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
法人：师玉玺（名下另有贵州穹界盾构信息安全有限公司）
参保人数：4（23年年报数据）
官方微信号：bugotech
联系电话：18096054816（来源爱企查，存疑，和qq邮箱相同但确实是个贵阳归属电话）
联系邮箱：18096054816@qq.com（来源爱企查，反查到有好几个贵州的公司也是这个联系邮箱）
注册资本：50万 实缴未知

另：该公司与hutool事件相关联
再另：D指导指出，在中国法律框架下移除提交权限可能涉及侵犯著作权中的修改权；移除代码署名设计侵犯著作权中的署名权。建议贡献者（尤其是有钱有闲的）可以盯着代码仓库出现上述情况直接起诉，不蒸馒头争口气，给该公司添添堵。
再再另：试图提交上传用户信息代码的alist666账号，于2024.12.07修改了readme，可以推测项目从此时就已经卖出去了，3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。

silence

这个作者也是出生，这项目有好多人贡献了代码，他就这样卖了，让别人找谁说理去

trips

这不就是那个半夜跳广告的统计工具那团活的吗？

dole

收购目的推测补充：

NVMe

gdtv 发表于 2025-6-11 14:47
This issue has been deleted.

收集用戶信息，被抓實錘，發帖人嘲笑吐槽。

Dingzhen

dole 发表于 2025-6-11 01:57
英文原版还没变 尽快留一份吧

英文版在哪找？

Dingzhen

dole 发表于 2025-6-11 01:57
英文原版还没变 尽快留一份吧

英文版在哪呢？

随波逐流

dole 发表于 2025-6-11 11:22
SKY大佬的全备份
https://github.com/BlueSkyXN-Backup/alist/releases/tag/v3.40.0

最后一个不投毒的版本吗，好像绑定网盘需要他们的那个网址

ddane

dole 发表于 2025-6-14 02:13
各个网盘如何取消Alist授权（https://forum.naixi.net/thread-4387-1-1.html）
115网盘取消授权：https://1 ...

dole

atusu 发表于 2025-6-12 16:28
在用这个上个月被当地公安局问候了，登记用途什么的，说是有一份名单搭建这个都需要核实用途什么的，感觉 ...

不要开公网用就行 扫到就上报了 就和搭建发卡一样 默认按诈骗算

x2ve

lamb 发表于 2025-6-11 14:32
作者居然在loc？

是的，好多年之前看到过推广alist；另外不知道是不是我记忆错乱了 论坛有位作者进去过，出来也开源了一个应用，但是不记得叫什么名字了 ，其实很多跟服务器网络相关的都来这坛子里推广过

268296

直接开盒了
https://cn.anotepad.com/notes/ek8hd7gf

rqp