在短短 72 小时里,50 k⭐ 的开源网盘项目 AList 突然“剧情反转”——代码仓库被陌生账号接管,下载地址整包跳到腾讯 COS,新版 Docker 镜像和桌面安装包都由未知实体重新构建;数百名贡献者则被“一键弹飞”。社区、媒体与安全圈高呼“暂停更新”,担忧演变成下一个 Hutool / GOEdge 式供应链投毒。
🌟 事件回顾:世界线为何突然偏移?
GitHub commit 与下载源大换血
- 6 月 9 日,帐号
alist666推出 commit ae7a77d,将桌面端所有安装包 URL 从 GitHub Release 改写为bugo-1301111475.cos.ap-guangzhou.myqcloud.com域名,且一次改动覆盖 macOS/Windows/Linux 五个平台
- 同日晚间,文档仓库又现大幅 diff:客服 QQ、微信二维码与同一 COS 链接插入其中
- 最新 Dockerfile 及
docker pull指向的新镜像也由 AlistGo 组织构建,Hash 与旧版不一致,引发“二进制污染”疑虑
“黑奴榜”与贡献者清零
- 有网友截图证实,Github 侧全部外部协作者权限已被移除,只剩“新主人”团队。昔日贡献者头像被做成“黑奴榜”长图嘲讽 绷不住了。
原作者沉默,新团体为谁?
- 开源社区表示 AList 已被贵州公司 不够科技(BugoTech) 收购,建议立刻停更
- 同站后续报道中,原作者 xhofe 承认“项目交由公司运营,自己仅保留代码审核权”
- Readhub、CNBeta 等科技快讯迅速跟进,指出新公司正是当年收购 Hutool 的那家,引发“前科联想”
🗯️ 社区沸腾:来自三界的吐槽
| 场所 | 典型观点 |
|---|---|
| V2EX | “官方文档域名换了、PR 尝试收集服务器信息,赶紧锁版本!” |
| Hostloc 论坛 | “下载地址被封,和 Hutool 是同一套路” |
| Naixi 论坛 | 贴出 BugoTech 工商信息与 Hutool 关联,呼吁贡献者维权 |
| Telegram 群 | 群主已换 ID“alist666”,老维护者潜水,用户狂刷 “投毒?” |
| Linux.do 快讯 | 悬赏新 fork,号召自建“洁净分支” |
⚠️ 风险剖析:为何像极了供应链攻击?
- 失去可信分发:COS 桶没有 GitHub Release 的签名/校验,任何持桶者可随时换包
- 贡献者移除 + 社区断层:主导权集中在单方,审计真空极易被塞后门
- 历史前车之鉴:
- Hutool 收购后曾因广告与隐私收集闹出轩然大波
- GOEdge 在 1.3.9 后版本被植入 JS 劫持跳转,被安全圈列为典型投毒案例
- 用户场景高敏感:AList 常挂载私有云盘 / WebDAV,如被植入窃密代码,信息价值远高于普通博客
🔒 校验清单
TL;DR:锁版本 → 校验哈希 → 隔离网络 → 自行编译。
1. 版本冻结
- 生产环境 回滚并钉死到 v3.40.0(Ownership 变更前最后 tag)
2. 二进制校验
- 用
sha256sum对比历史 GitHub Release 哈希;不符即删。 - Docker 用户执行
docker save备份老镜像,防止 tag 被“偷梁换柱”。
3. 网络沙箱
- 反向代理 + 出口白名单,仅放行网盘 API;其余全砍 (
iptables -A OUTPUT -d !<允许域> -j DROP)。
4. 源码体检 Checklist
| 模块 | 红旗关键字 |
|---|---|
cmd/main.go | http.Post, collect, stats |
Dockerfile | wget http://, `curl |
前端 *.vue | 隐藏 iframe、<script src="…cos…"> |
🛡️ 长线 Buff:避免“二次黑化”
- Reproducible Build + Sigstore:推动项目使用 GoReleaser CI 自动出包并签名。
- OSS-Diff / Chainguard Enforce:监控 URL、LICENSE、Maintainer 变动,即时告警。
- 内部镜像仓 + Commit Pin:CI/CD 全部锁定 SHA;关键依赖自建 mirror。
- 多渠道分发:官方 Release、去中心化对象存储、社区镜像三线并行,降低单点劫持风险。
🎀 小结 & 彩蛋
“当你在家里养一只可爱的仓鼠(开源项目)时,千万别把粮仓钥匙交给陌生人。” ——来自二次元宇宙的运维姐姐✨
AList 暂未确认已有恶意代码,但“开发者沉默 + 下载源私有化 + 权限集中”几乎命中供应链攻击的全部高危信号。把版本锁好、把网络关紧、静观其变,是当前最稳妥的姿势。愿我们都能守住自己的数据堡垒,不让爱用的开源小伙伴走向“魔王化”。如果你想一起撸源码、做差分审计,或寻找平替方案,欢迎在评论区 @ 我——一起开团刷副本吧!(≧▽≦)/
听说卖了35w
在此谴责贵州某公司对Ailst的玷污(╬ ̄皿 ̄)
听说出了一个OpenLST