圈小蛙
知名的开源网盘项目Alist是一个开源项目,由众多的国内外贡献者与作者一起维护。根据多方面消息来源,近期Alist疑似已被一家名为 “贵州不够科技” 的公司收购,引发了社区对其未来和安全性的普遍担忧。
此次项目出售并未提前向社区发出通告,而是等到近日发生了"投毒"(存档)、官网404、GitHub管理人变更、Telegram群组管理人变更、docs文档大改等事件后为了回应舆论才出面作出了声明。
项目的中文文档被大幅修改,并加入了用于“VIP 技术支持”的QQ群,呈现商业化迹象。此前收购方疑似在项目中提交了用于收集用户操作系统数据的代码。贵州不够科技此前还收购了Java工具库Hutool。由于存在被植入恶意代码的潜在巨大风险,建议所有Alist用户暂缓更新。
试图提交上传用户信息代码的alist666账号,于2024.12.07修改了readme,可以推测项目从此时就已经卖出去了,3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。
在中国的法律框架下,依据现有最高法指导案例,AGPLv3 Licence在法律上被视为双向的授权合同,一旦该公司推出了闭源等违反AGPLv3 License的版本,则涉及侵犯Contributor的代码版权问题(违反licence导致法律上的代码授权被收回,涉及未经许可擅自复制、修改、发行软件),除非该公司移除该部分代码或者重构。另外,如果重构代码则雷同度不能太高,否则算作抄袭。
近年来有目的地收购开源项目进行投毒的现象屡有发生,LNMP、Oneinstack、Staticfile、BootCDN、Polyfill、GoEdge等许多个由中国开发者所主导的项目据信已处于互联网犯罪集团的掌控之中。
贵州不够科技有限公司
地址:贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
法人:师玉玺(名下另有贵州穹界盾构信息安全有限公司)
参保人数:4(23年年报数据)
官方微信号:bugotech
联系电话:18096054816(来源爱企查,存疑,和qq邮箱相同但确实是个贵阳归属电话)
联系邮箱:[email protected](来源爱企查,反查到有好几个贵州的公司也是这个联系邮箱)
注册资本:50万 实缴未知
贵州不够科技添加的监控代码
func getTotalMemory() (mem uint64) {
output, err := executeCommand("free", "-b")
// …
}
+go bootstrap.DealMachineInfoStatistics()
+const urlSystemInfo = "https://dapi.alistgo.com/v0/system/info"
假借系统统计之名,行全方位扒裤衩之实:上报了内核版本、CPU内存、系统指纹等信息,其中使用了free -b这种命令查看内存信息,上报域名直接硬编码:dapi.alistgo.com。