Saber 酱的抱枕

Fly me to the moon

06/12
2025
软件

才搭建了 AList 十来天就爆雷了

saber 撰写 3条回复 145次查看

我在月初搭建了个 AList 站点来分享 OneDrive 里的资源,结果 10 号就开始流传出 AList 不再安全的消息,11 号确认是原作者把项目卖给了国内的一个草包公司,已经在计划收集用户信息了,而且在 AList 里填写过网盘账号密码、token 的话也不再安全了。

事情原因

AList 是个开源软件,在 GitHub 上有接近 5 万 Star。它可以把许多网盘里的文件以及本地文件聚合在一起,通过网站在线访问。默认样式如下:

AList 被卖了 no_lazy

Alist 已经被原开发者出售给了“贵州不够科技”公司,而且原作者一直没放出消息,4 月份卖的,直到这两天才爆出消息。可能是怕提前通知用户的话会导致大批用户流失,影响卖出的价格。

“贵州不够科技”是个小小公司,实在不能令人放心。而且最近还在招聘渗透相关人员🤔

为什么会被冲

该项目的 issues 已经被冲了,不过基本都被 close 了:

https://github.com/AlistGo/alist/issues?q=is%3Aissue%20state%3Aclosed

有些理客中还在为原作者辩护,说开源项目你们都是白嫖的,作者想卖就卖,关你们什么事?

我不这么认为,虽然我确实是白嫖的,但该作者最大的问题在于没有提前发布通知,一直到压不住了才承认。

如果提前通知,用户想要更换到其他类似软件的话会有充裕的时间,而不是被打个措手不及。现在已经被卖了一个多月了,用户的数据安全已经受到了影响。

而且这对于项目的其他贡献者也不公平,作者一声不吭的把项目卖钱了,其他贡献者已经被大家称为黑奴了。就算不可能给每个人分钱,但提前的通知和感谢是否应该做一下呢?现在已经有贡献者要求删除其贡献的代码:

请 【贵司】 删除我的代码, 好几个周末不是给你们投毒的

This issue has been deleted. 太尖锐了。

作者的小心思很明显,没什么好护的。

而且现在舆论发酵之后,作者和公司也一直没有发布公告,只是把提问的 issue 关闭做冷处理。

有什么影响

目前作者自己的域名 alist.nn.ci 已经换成了 alistgo.com,这影响到了文档地址、安装地址、API 地址、docker 地址。

截止 v3.45.0 版本的源代码是安全的,但在线的 OAuth API 已经不再安全。

在后台的“设置”-“站点”里可以看到版本号:

AList 被卖了

隐私泄露的问题

已经确定以后的 AList 会收集用户的操作系统配置信息,至于会不会收集更多信息,以及投放广告、甚至用来做点坏事,我只能说在路上了,永远不要相信这些小公司会有下限这种东西。

不过这个还算是小问题,更严重的是账号信息有泄露的风险。

账号密码泄露的问题

这分为 3 种情况:

  1. 如果你分享的是本地文件,不涉及网盘的账号密码,那么就没有这方面的问题。
  2. 如果你分享的网盘需要填写账号密码,那么问题的关键在于账号密码是否有被收集,目前还没有这种行为,但最好是取消分享并修改密码。
  3. 如果使用了原作者的闭源 API 来获取 token,应该取消对此 API 的授权。

OneDrive 账号的泄露风险

token 可能会泄露

虽然 AList 是开源项目,但有些获取 token 的 API 是闭源的,比如 OneDrive 需要通过原作者的一个网页来获取刷新令牌:

AList 被卖了

使用上面的这几条数据就可以访问我的 OneDrive 里的所有文件。

其过程是原作者创建了个名为 alist 的应用,然后我们授权这个应用访问我们的 OneDrive 数据。不授权的话当然就没法在 AList 这个第三方应用里挂载 OneDrive。

问题是这些 API 是闭源的,我们不知道作者是否有偷偷保留这些数据。之前只能说是有出于对开源项目的信任吧,但现在项目已经被卖了,而且这个 API 的域名也已经换成公司注册的新域名了,谁敢用公司的底线去考验自己的账号安全?

如何取消授权

如果你分享的 OneDrive 账号里有私密文件,应该考虑取消授权。

我之前分享过我的个人 OneDrive 账号,虽然我只分享了可以公开的文件夹,但其实所有文件都是可以用上面的 token 访问的。里面有我的个人文件,这下真是呃呃了,只好赶紧去删除 token。

至于我分享的企业版,由于只是单纯用来存放资源,不涉及私密文件,所以我目前没有删除 token。

个人版

https://account.live.com/consent/Manage

在“你已授予访问权限的应用和服务”的页面里,取消对 alist 的授权。我这里已经删了,只剩下个 Xbox 的授权:

AList 被卖了

企业版

https://portal.azure.com/#home

在 Azuer 的“管理 Microsoft Entra ID”页面里找到“企业应用程序”:

AList 被卖了

删除 alist 以取消对它的授权。

开源版本

现在有一些新的 fork 版本,比如 OpenList:

https://github.com/OpenListTeam/OpenList

该版本移除了公司的网址链接,未来也肯定会注重保护隐私安全,但目前还未开发完成。

相关文章:

使用 AList 挂载和分享 OneDrive、SharePoint 的文件
Pixiv收藏批量下载软件-Pixiv Bookmark Downloader
VS Code 的 Live Sass Compiler 扩展
使用 AntiMicroX 映射手柄按键为键盘或鼠标按键
Windows 系统增强工具 PowerToys
B站直播间开播提醒的JS脚本
用 go-cqhttp 做QQ机器人,发送B站直播间的开播通知
关于windows的所谓“hosts保护”机制 by某w

才搭建了 AList 十来天就爆雷了