开源网盘应用Alist疑似被卖 请暂停更新以免出现供应链投毒

声明：该文章来自（蓝点网）版权由原作者所有，K2OS渲染引擎提供网页加速服务。

非常知名的开源网盘应用 Alist 目前疑似被卖，目前中文文档已经被大幅度修改且添加 QQ 群信息，这些 QQ 群和所谓的 VIP 技术支持似乎都是买家新增的东西。

购买 Alist 的公司名为不够科技 (贵州)，原开发者 Xhofe 似乎也已经从所有社交群组中退出并且不再回复相关问题，这种情况与此前 LNMP 等安装包被不声不响收购非常相似。

相关讨论：https://github.com/AlistGo/alist/issues/8649

从提交的 PR 来看，购买方似乎还在项目里添加用户收集操作系统数据的代码，而新发布的 Alist 桌面版官方链接指向腾讯云 COS 对象存储 (还被腾讯检测出来侵权而文件被封杀)。

从目前已知情况来看 Alist 被出售几乎是肯定的，既然有人愿意出钱购买这个开源项目，那接下来肯定要利用项目盈利，是否还会继续开源提供都是个未知数。

但最大的问题在于供应链投毒风险，正常情况下说如果收购开源项目，完全可以正大光明的发布公告进行说明，而不是偷偷替换组织和开发者然后直接修改各种项目代码。

不够科技此前还收购 Java 工具库 Hutool，目前无法判断该公司的声誉以及是否可能对 Alist 项目进行投毒以实现其他目的，目前来看这家公司应该和此前收购 Oneinstack 和 LNMP 的金华某公司没有关联。

当时金华某公司收购 Oneinstack 和 LNMP 后就尝试进行投毒并被安全公司发现，如果 Alist 项目也遭到投毒的话，那潜在影响也同样非常巨大，在这里也建议各位用户暂缓更新。

相关内容：

知名 Web 集成环境 Lnmp.org 一键安装包被投毒 请各位站长立即检查服务器

继 LNMP 后 oneinstack 也被金华矜贵收购 该公司还试图买下 LAMP

继 LNMP 后 oneinstack 也被添加了后门程序 建议用户不要使用这类脚本

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/