一、突传出售：明星项目的无声“叛逃”

就在这几天，开源社区突传爆炸性消息：49.8K Star 的网盘聚合工具 Alist 已被整体出售。

事件导火索源于用户发现其官方域名从alist.nn.ci悄然更换为alistgo.com，中文文档被大规模修改，新增商业化内容（如 VIP 技术支持 QQ 群、付费定价策略），而原开发者 Xhofe 突然从所有社群消失且长期沉默。

更令用户警觉的是，新提交的代码中出现设备数据收集模块（后因社区抗议被紧急撤回），桌面版下载链接甚至指向腾讯云 COS 存储（因侵权遭封禁）。这些异常操作与开源透明度背道而驰，迅速点燃社区质疑。

二、原开发者回应：沉默后的“有限承诺”

面对社区声浪，原开发者 Xhofe 于 6 月 11 日首次回应，但声明内容引发更大争议：

“项目已交由公司运营，之后我会帮忙审查开源版本仓库的代码，确保 release 由 CI 自动构建，main 分支已开启保护，后续提交需经 PR 审核。”

该回应被指避重就轻：

1. 未否认出售事实，仅模糊承认“移交公司运营”；

2. 未披露交易细节，收购方身份、金额、用户数据归属均未说明；

3. 审查权限存疑：所谓“帮忙审查”是否具备实际约束力遭强烈质疑，甚至还有网友调侃：“不会连账号都卖了吧？”

社区担忧，创始人此举实则为商业化让路，而“分支保护”承诺难以抵挡资本主导的代码控制权。

三、起底接盘方：不G科技的“投毒黑历史”

这次收购方贵州不G科技成为舆论焦点，其过往操作堪称开源界的“信任杀手”：

为了避免文章被投诉，隐去新东家公司的名字。大家很容易就查到。🐶 

1、争议收购史与投毒嫌疑

• Hutool 工具库：收购后频繁推送异常更新，被开发者举报存在“非必要依赖注入”，疑为捆绑推广或后门铺垫；

• LNMP 一键安装包：金华某公司（与不G科技关联存疑）收购后植入恶意脚本，秘密收集服务器信息，后被安全公司拦截曝光；

• Oneinstack：同样陷入“静默更新夹带私货”风波，用户直指其“供应链投毒模式”。

2、商业化侵蚀开源生态

该公司惯用“收购 → 改文档 → 推付费 → 闭源”四步策略：

• 修改项目主页强推自有产品（如本次 Alist 文档新增 Vi**ub 广告）；

• 火速上线付费版本（AList 桌面版定价 39.99 元）；

• 限制开源功能，将核心服务转向私有化 API（如 Alist 依赖的api.nn.ci服务未来可能停用）。

有网友提示：此类操作本质是“开源劫持”，通过控制基础设施实现用户数据变现。

四、社区自救：分叉与防御指南

面对系统性信任崩塌，用户正多线行动：

1. 暂缓更新：多家技术媒体呼吁冻结 Alist 版本至 v3.40.0 前，避免供应链投毒风险；

2. 分叉重生：核心贡献者xrgzs已发起 Fork 项目（社区称“黑奴起义”），Zfile 等替代方案热度飙升；

3. 数据隔离：建议解绑敏感网盘账户，启用独立 API 密钥，减少依赖集中式服务。

（本文参考自小众软件、蓝点网等报道）

- EOF -

推荐阅读  点击标题可跳转

1、Redis 之父亲证：人类程序员仍力压 LLM！

2、Java 之父怒斥：AI 是场骗局，无法取代程序员

3、阿里云核心域名竟遭劫持，幕后黑手究竟是谁？