Alist 项目疑似被卖,v3.45.0 起已引入用户信息上报,勿直接更新!

最近,知名开源网盘联合工具 Alist 爆出重大争议:最新版本 v3.45.0 被发现启用了 用户数据上报机制,并未明确告知,并且存在项目被接手或出售等可疑点。

🎬 视频教程

🔍 项目切换与社区 Fork

📌 关注社区对应解决方案:

⚠️ v3.45.0 启用了用户数据上报功能

精通社区用户对 PR 接口进行审核后发现:
v3.45.0 在未给出明确揭示的情况下,插入了远程上报代码,并将信息发送到 alist.nn.ci(未开源),存在严重隐私风险。

🔎 有关代码 PR 详情:
https://github.com/AlistGo/alist/pull/8633/files#diff-bb283e07a0d769f0619f035e02eb9faf9b435979986ed95a28e95946658ff8a7

可能上报的信息包括:

  • 网盘类型、状态
  • Token / Session 信息
  • 设备唯一 ID
  • 系统信息 / 系统进程等

上报接口未公开,无法确认数据处理操作,建议立即止用。

🔎 如何查看 Alist 当前版本?

打开 Web 管理界面:

1
管理 - 设置 - 站点 - 版本

如显示为 v3.45.0 或更高,强烈建议立即停用,回退到社区推荐版本(v3.24.1 / v3.25.0),或切换到社区 Fork 版本。

🛠️ 推荐临时解决方案

为了确保运行安全,建议操作:

1️⃣ 回退到社区安全版本

如:v3.24.1v3.25.0,并禁止自动更新,避免未经许可的升级。

2️⃣ 切换至社区维护版本

使用社区 Fork (已删除上报代码):

📍 https://github.com/OpenListTeam/alist

可自行编译或使用社区配置 Docker 镜像。

3️⃣ 撤销第三方网盘授权 (强烈建议)

重要!如果使用过第三方网盘登录,建议撤销 Alist 授权:

  • 百度网盘:我的 → 设置 → 账号管理 → 授权管理 → Alist → 解除授权
  • 阿里云盘:我的 → 鼠标上角齿轮 → 隐私设置 → 授权管理 → Alist → 解除授权
  • 115 盘:App → 生活 → 账号与安全 → 第三方登录管理
  • 联通云盘:登陆网页版,查看登录历史,手动删除 Alist 授权
  • 一刻相册:头像 → 应用设置 → 账号管理 → 授权管理
  • Google 网盘 / 相册:Google 账号中心 → 安全性 → 第三方应用 → 移除 Alist 授权
  • Dropbox:设置 → 安全 → 应用 → 移除 Alist
  • OneDrive / Microsofthttps://account.live.com/consent/Manage

如果有多网盘授权第三方登录,建议全部撤销,后续再在网络无上报版本重新授权。