Alist被作者卖了？

admin

这几天看到一个消息，Alist被作者卖了！

Alist 是一个拥有 5 万颗 GitHub 星标的文件目录程序，支持多种网盘与文件系统挂载，已经被国内无数 NAS 用户视为标配。可以说，在一个缺乏高质量个人文件管理方案的市场里，Alist赢得了大量用户。

但在国内，开源一直是一种略显尴尬的存在。从大厂自研操作系统打着开源的旗号，到alist依赖一两位核心贡献者，缺乏良性反馈、协作开发和社区监督。

但是项目被卖了，收购 Alist 的公司名叫“不够科技（贵州）”。大家最担心的是“供应链投毒”。此前金华某公司收购 Oneinstack和LNMP 后。有安全公司披露其在安装脚本中植入了后门代码，企图收集服务器信息或构建潜在的远程控制入口。这类行为本质上就是把开源项目当作分发恶意代码的管道。

Alist 项目也面临类似风险。
项目作者 Xhofe 在将项目卖出之后，迅速退出了所有社群，甚至连 GitHub 的 PR 和 issue 都不再回应。被收购后的 Alist 可能也不再是那个你能信任的社区项目，它的未来也笼罩在几大疑问之下：

是否还会继续保持开源？

是否会在更新中暗藏统计、上报甚至远程控制代码？

是否已经悄然将用户数据用于商业化牟利？

很多人误以为开源就是安全，其实恰恰相反。开源项目的安全，是靠社区监督、版本审计和协同开发保障的，而不是代码本身写成“公开的”就能自动获得安全性。一旦社区失灵、作者撤退，项目被陌生公司买走重新封装，可能就是夹带私货的版本了。
目前来看，Alist 的主版本已经让许多用户开始焦虑：还该不该更新？还能不能用？
比较稳妥的方案有以下几种：

锁定旧版本：建议使用github Alist 的 3.45.0 或更早release。这些版本大多由 Xhofe 直接维护，代码在社区的共识下相对干净。

寻找分支项目或 fork：社区已经有不少人开始 fork Alist，建立去中心化的版本。这些版本更倾向于维护开源精神，移除统计和潜在风险代码。

考虑替代方案：虽然 Alist 很强，但不是唯一选择。你可以关注 rclone、filebrowser、nextcloud 等海外开源项目，至少它们在治理机制和社区透明度上更成熟。