AList项目风波升级：维护者失联、文档篡改引发社区恐慌

引言

曾被誉为"开源网盘聚合神器"的AList，近期陷入前所未有的信任危机。这个拥有数万star的GitHub项目，在短短两周内经历了维护者失联、官方文档被篡改、Docker镜像遭替换等一系列异常事件，导致技术社区对其供应链安全性产生强烈质疑。

项目控制权突变

GitHub仓库异动

自2025年5月下旬起，AList的GitHub官方仓库出现异常操作：
- 原维护者Xhofe的提交记录突然中断
- 多个新注册账号开始频繁修改代码和文档，其中包含敏感的OneDrive回调API配置
- 项目主页跳转至未知域名，原中文文档被整体替换为包含VIP支持、QQ群联系方式等商业化内容

值得注意的是，main分支已被设置为受保护状态，但分支保护策略的制定者身份成谜。

开发者声明引发争议

面对社区质疑，原开发者Xhofe于6月初发布声明：

"项目已交由公司运营，后续会帮忙审核开源版本仓库的代码，并确保release由CI自动构建"

这份简短声明并未平息风波，反而因缺乏具体细节引发更多猜测。有开发者指出，项目核心贡献者已连续三周未参与维护，这种"不告而别"的交接方式与LNMP包历史事件高度相似。

社区信任危机全面爆发

供应链安全警报

安全研究者发现：
1. 所有回调API服务已转移至未知服务器
2. OneDrive等网盘的机密认证信息存在泄露风险
3. Docker官方镜像仓库(xhofe/alist)被强制替换

部分用户建议大家：

"建议立即吊销所有通过AList配置的网盘API权限，防止数据被恶意接管"

开源精神遭质疑

社区成员发现：
- 新接手团队存在历史争议记录
- 代码署名权被恶意篡改，涉嫌侵犯原始贡献者著作权
- 官方文档修改记录显示，关键变更发生在深夜时段

这导致核心开发者群体分裂，已有技术团队启动分叉计划以保留原始代码分

未来走向与行业反思

可能的发展路径

1. 社区自救：技术大牛正尝试反编译最新版本进行代码审计
2. 法律维权：开源协议合规性争议可能升级为司法案件
3. 生态迁移：已有用户转向Rclone+Web前端的替代方案

开源治理启示

此次事件暴露出三大行业痛点：
- 开源项目所有权变更缺乏规范流程
- 商业化介入与社区自治的边界模糊
- 供应链安全防护体系存在重大漏洞

结语

截至2025年6月11日，AList官方仍未公布完整的技术交接方案。这场风波不仅关乎单个项目命运，更折射出开源生态在商业化浪潮中的结构性矛盾。对于用户而言，在未明确风险可控之前，保持审慎态度或许是最佳选择。

网传恶搞截图