一位被社区视为英雄的开发者,一笔不透明的交易,一场差点成功的“信任投毒”,在开源世界里掀起了一场关于所有权和未来的战争。

2025年6月,中国的开源社区经历了一场悄无声息的地震。

震中是 GitHub 上一个名为 Alist 的明星项目——一个能让用户把阿里云盘、Google Drive 等十几种存储服务统一管理的工具。它拥有 35K+ 的 GitHub Stars,是无数技术爱好者和极客的必备神器。

震源来自一条社区传闻:项目已被一家名为 “贵州不够科技有限公司” 的公司收购。

随之而来的却不是祝贺,而是恐慌、愤怒和一场信任体系的崩塌

01 悄无声息的易主

一切的开始,像是一场精心策划的“秘密行动”。

直到 2025 年 6 月 11 日左右,眼尖的社区成员发现,项目的控制权似乎在转移。文档被修改、GitHub 仓库出现了新的提交者,而项目的灵魂人物、开发者 Xhofe 却没有发布任何公告。

面对社区的质疑,Xhofe 在个人 Telegram 频道发布了一条语焉不详的通知,确认项目“正式交由公司运营”,并承诺会“继续审核代码”。

此后,他便如同数字世界中的水蒸气一般,从所有相关社群中彻底“蒸发”,再未回应任何询问。这意味着一个依赖他数年维护的项目,连同其背后庞大的用户社区,在他笔下被轻轻地“移交”了 (´・_・`)

收购方“贵州不够科技”自始至终,未对此事发布过任何官方公告或未来规划。这不仅是一次交接,更是一次彻底的信息封锁

02 警报响起

信任一旦出现裂痕,任何微小的异常都会被无限放大。而这一次,社区的警觉并非空穴来风。

首先,这家公司在开源圈早有“前科”。2025年2月,它收购了知名Java工具库Hutool,引发了社区的广泛担忧。更严重的是,据持安科技安全运营中心监测,在2023年9月和10月,曾发生过涉及LNMP和Oneinstack的供应链投毒事件,攻击者在官方网站的安装脚本及程序中插入恶意代码,实现ROOT身份的控制。这些事件高度怀疑出自同一黑产团伙之手。社区给它贴上了 “开源项目收割机” 的标签!

其次,最致命的一击很快到来。在项目易主后的代码提交中,有人发现了一个被标记为 “ci: 统计系统信息” 的 Pull Request (PR)。代码显示,新的维护者试图在用户不知情的情况下,收集其系统信息并发送到一个私有地址

尽管在社区的激烈声讨下,这段代码被撤回,但潘多拉的魔盒已经打开

“一个负责管理我所有网盘密钥、访问我所有私密文件的工具,现在背后的人想把我的系统信息偷偷传走?”一位用户在论坛上写道,“这比家里进贼更可怕,因为贼拿走了锁匠的钥匙。”

03 一场“供应链投毒”的未遂惊魂

这起事件迅速从一个“令人失望的收购”,升级为一场潜在的 “供应链投毒”危机

想象一下:攻击者不直接攻击成千上万的用户,而是买下一款他们共同信赖的工具,然后在更新中植入恶意代码。当用户像往常一样点击“更新”时,恶意软件便悄无声息地部署到了全球的服务器和个人电脑上…

Alist 正是这样一个完美的“供应链”节点。它被广泛部署在家庭NAS、公司内网、云服务器上,拥有极高的权限和信任等级。

“贵州不够科技”提交的那段数据收集代码,被社区普遍视为一次 “试探性攻击”。如果这次没有被发现,下一次提交的会是什么?是加密用户文件的后门,还是利用用户服务器发起网络攻击的僵尸程序?

恐慌迅速蔓延。技术论坛上充满了 “立即停止更新!”、“回滚到Xhofe最后一个版本!” 的呼声。开发者们开始疯狂地检查代码,用户在深夜备份数据、更换部署方案。

04 社区的自救:当开源精神亮剑

开源世界的伟大之处在于,当一个中心节点失灵时,网络不会崩溃,它会自我修复!

在事件发酵的数日内,一个全新的项目应运而生—— OpenList!它由社区的开发者们火速发起,直接复刻了收购前最后一个可信的 Alist 版本,并宣布将由社区集体维护,永久保持开源透明 (๑>◡<๑)

根据OpenList开源项目介绍,这是一个更可信、可持续的AList开源替代方案,旨在防范未来可能的闭源、黑箱或不可信变更。该项目正在进行原作者闭源API替代,移除所有不可信链接,如Alistgo.com(也就是投毒公司之后加入的部分)。

OpenList 的诞生,是开源精神的胜利宣言!它向世界证明:代码可以被买走,但社区买不走;信任可以被辜负,但未来可以亲手重建。

这不仅仅是做了一个“备胎”。这是一个清晰的信号:开源项目最终的主权,不在 GitHub 的仓库所有者手里,而是在于那些使用、热爱并愿意为之贡献的社区手中。

05 余震与反思:中国开源的成人礼

Alist 事件看似告一段落,但它引发的深层震荡,正在重塑我们对开源的理解。事实上,这类事件并非个例:

  • XZ后门事件:2024年,一款广泛使用的压缩库XZ被发现植入了后门。攻击者通过潜伏近三年,逐步获得项目维护权,最终在代码中植入恶意代码。这起事件影响了数百万台服务器,是开源史上最严重的供应链投毒事件之一。
  • Vant与Rspack供应链攻击:2024年,有赞的Vant和字节跳动的Rspack两大知名国产开源项目遭受供应链攻击,攻击者通过劫持npm包的方式植入恶意代码。

这些事件共同揭示了开源生态的三大问题:

  • 它暴露出由单一个体主导的开源项目的脆弱性。当开发者面临经济压力或个人选择时,整个项目及社区可能瞬间暴露于巨大的风险之下。
  • 一部分资本将开源项目单纯视为流量入口和用户资产,其“收购-变现”的逻辑与开源的协作、共享精神背道而驰。这种“野蛮收购”正在成为开源生态的新毒瘤!
  • 我们过于依赖开发者的个人品德,而缺乏制度性的社区治理结构(如基金会、明确的贡献者协议、决策委员会)。当“人治”失效时,项目便陷入无政府状态。

这次事件,或许可以看作是中国开源生态的一场 “成人礼”。它痛苦地告诉我们,光有热情和代码是不够的。我们必须学会用更审慎的眼光评估项目背后的维护团队,积极支持那些建立健康治理模式的开源项目,作为开发者,思考如何通过捐赠、SaaS 服务等更可持续的方式获得回报,而非“一卖了之”。

06 未来

今天,Alist 的官方仓库依然在那里,但许多老用户已经迁徙到了 OpenList 或其他安全的分支。GitHub 的星标数成了一个充满讽刺的纪念碑,记录着它曾经的辉煌和如今的落寞。

这场收购没有赢家。收购方得到的是一个名声受损、用户流失的空壳;原开发者 Xhofe 失去的是多年积累的社区声望和信任;而用户和贡献者,则经历了一场心惊胆战的数字安全危机。

唯一产生的积极事物,是 OpenList 和社区觉醒的共识 (^ω^)

打开命令行,输入 git fork,这可能是开源世界里最强大的反抗!它告诉我们:在这个由代码构成的世界里,真正的权力,永远属于那些能够阅读、修改并重新发布代码的人。

信任是开源世界的基石,而这次,有人差点把它从地基里抽走。幸运的是,基石之下,还有一片名为“社区”的坚实大地。