鲜花丢在粪坑里!Alist的命运让人唏嘘不已
鲜花丢在粪坑里!Alist的命运让人唏嘘不已
JonyLee对于非常喜欢开源应用的Jony来说,最近这个瓜吃的是真难受!
事件的主角Alist,相信很多人都有用过或者听过。
什么是Alist?
Alist是一个几乎可以聚合市面上所有主流网盘的一个开源应用。
它能将这些不同的网盘无缝集成到一起,通过统一的Web界面管理。还可以通过Webdav协议挂载为本地磁盘直接读写或编辑文件;同时支持在Web端预览,播放音视频、文档等;还能通过Aria2实现离线下载。它具有多用户管理功能,也非常方便做资源分享。
另一个知名的资源分享项目小雅超集,也是基于Alist实现的。
Alist作为开源网盘聚合工具的标杆,其核心功能与设计理念在当前没有完美的平替!
该应用之前是由开发者Xhofe(Andy Hsu)采用AGPL-3.0开源协议开源,吸引了众多开发者参与开发。Github上Star数已近5万!
Alist怎么了?
近期爆出Alist被悄咪咪收购。优秀开源项目最终被收购走向商业化,是一个很常见的也是一个比较好的结局,这对主要开发者来说也是正向的,付出的心血产生经济价值,也可以激发更多的开发者投身开源开发。
这种事大家都理解,所以大家也并没有苛责开发者,主要的质疑来源于这个收购过程和收购的公司。因为该应用涉及通过作者提供的API获取用户网盘的密钥Token,而大家的网盘多少都有些隐私资料。
Alist被收购的过程突出一个偷偷摸摸。具体问题及影响有如下三点:
1. 商业化操守遭质疑
- 隐秘收购与文档篡改:2025年4月Alist项目悄然易主,用户发现中文文档被替换为商业化内容(如VIP技术支持、QQ群推广),而原开发者Xhofe未公开说明即退出社区管理。
- 官网域名切换:6月初官网从
alist.nn.ci改为alistgo.com,明确归属贵州不够科技,但缺乏正式声明,引发社区警觉。
2. 供应链投毒风险
- 前科关联:贵州不够科技曾收购LNMP等开源项目,后被曝在安装脚本植入后门程序;此次Alist合并的PR中也被发现含可疑代码(后虽撤回,但用户担忧历史版本已受影响)。
- API依赖隐患:Alist依赖私有API服务(
api.nn.ci),若新东家停止维护或篡改接口,可能导致旧版本失效,用户被迫升级风险版本。
3. 社区信任崩塌
- 贡献者被戏称为“黑奴”(贡献量第9的开发者xrgzs愤而Fork项目),反映开源项目商业化过程中对社区贡献者的忽视。
- 原开发者虽承诺“审查代码”,但账号控制权转移后,社区对其独立性存疑。
作者事先没有任何说明,项目官网被悄悄更改,项目文档也被反复悄悄修改,甚至有人提交合并用于获取用户设备信息的代码。
而收购的金主被扒出为一家有黑料前科的公司贵州不够科技,其曾经收购开源应用hutool等的骚操作,甚至被指可能涉及过收购开源应用然后进行代码投毒(此消息未经证实)。
这两天Github项目上该项目的Issues已经被广大网友的口水淹没,翻了15页还没翻完。
用户怎么办?
Issues里有人追溯到被收购前的最后一个版本为3.40.0,鉴于大家对收购公司的不信任,建议大家:
- 暂停Alist升级,冻结当前稳定版本(新版本可能含统计代码或后门)。
- 审查Alist配置文件,禁用非必要API调用(如api.nn.ci),优先使用各网盘原生Token。
后续进一步关注事件的发展,目前已有开发者提出分叉原项目另行开发。
我在日常中是深度使用Alist的,用简悦+网盘+Alist+Obsidian搭建的一套知识信息剪藏采集流程,用起来非常丝滑。
具体来说是用简悦从网上采集文章资料,转为markdown格式直接保存到网盘,同时用Alist通过Webdav协议挂载到本地Obsidian库进行编辑整理,然后本地使用或者用Alist的Web在线访问,相当方便。
本来准备将这套方法推荐给大家的,现在Alist出了这样的事情,着实有点可惜。
Jony也找寻了一番其他开源平替,无奈能做到Alist这么好用的还真是没有。
说点什么?
长久以来,开源项目一直是用爱发电的状态,开发者长期投入巨大精力维护一个没有变现能力的开源项目是相当困难的,最终很多优秀的开源项目走向挂档停更。
很多个人开源项目都开通有赞助,希望大家在使用到比较优秀的开源项目时,能够多少赞助一下开发者,当请作者喝杯咖啡,虽然杯水车薪,但总归也算是一个认可和激励。
另外在开源项目商业化变现这件事上,也不乏成功案例,我个人比较喜欢开源应用,有特别好用的,是非常愿意付费购买pro版或者付费版的。
此次Alist作者的做法,不知道出于什么样的现实考量,把这么优秀的开源项目,卖给有黑料前科的公司,相当于拿自己的社区信誉一次性折了现。实在想不明白作者怎么就选择了这样一条路,相当无语吧,只能说,可惜了Alist!
