突伝出售:明星プロジェクトの無言の「裏切り」#
ここ数日、オープンソースコミュニティに衝撃的なニュースが伝わった:49.8K Star のクラウドストレージ統合ツール Alist が全体的に売却された。
事件の発端は、ユーザーが公式ドメインが alist.nn.ci から alistgo.com に静かに変更されたことを発見し、中国語の文書が大規模に修正され、商業化コンテンツ(VIP 技術サポート QQ グループ、料金戦略など)が追加されたことにあります。そして、元開発者の Xhofe がすべてのコミュニティから突然姿を消し、長期間沈黙を保っていました。
ユーザーがさらに警戒したのは、新しく提出されたコードにデバイスデータ収集モジュールが含まれていたこと(後にコミュニティの抗議を受けて緊急撤回された)で、デスクトップ版のダウンロードリンクは Tencent Cloud COS ストレージを指していました(侵害により封禁された)。これらの異常な操作はオープンソースの透明性に反し、コミュニティの疑念を急速に燃え上がらせました。
元開発者の応答:沈黙の後の「限られた約束」#
コミュニティの声に対し、元開発者の Xhofe は 6 月 11 日に初めて応答しましたが、その声明内容はさらなる議論を引き起こしました:
「プロジェクトは会社に運営を移管しました。今後、オープンソース版リポジトリのコードをレビューする手助けをします。リリースは CI によって自動構築され、main ブランチは保護されています。今後の提出は PR のレビューを受ける必要があります。」
この応答は、重要な点を避けていると指摘されています:
- 売却の事実を否定していない、ただ「会社に運営を移管した」と曖昧に認めているだけ;
- 取引の詳細を開示していない、買収者の身元、金額、ユーザーデータの帰属については説明されていない;
- レビュー権限に疑問:いわゆる「手助けをするレビュー」が実際に拘束力を持つかどうかが強く疑問視され、さらには「アカウントも売却したのでは?」と揶揄する声もあります。
売却の事実を否定していない、ただ「会社に運営を移管した」と曖昧に認めているだけ;
取引の詳細を開示していない、買収者の身元、金額、ユーザーデータの帰属については説明されていない;
レビュー権限に疑問:いわゆる「手助けをするレビュー」が実際に拘束力を持つかどうかが強く疑問視され、さらには「アカウントも売却したのでは?」と揶揄する声もあります。
コミュニティは、創業者のこの行動が実際には商業化への道を開くものであり、「ブランチ保護」の約束が資本主導のコード管理権を阻止することは難しいと懸念しています。
買収者の正体:不 G 科技の「毒を盛る黒歴史」#
今回の買収者贵州不 G 科技は世間の注目を集めており、その過去の行動はオープンソース界の「信頼の殺し屋」と称されています:
記事が苦情を受けるのを避けるため、新しい親会社の名前を隠しています。皆さんは簡単に調べられます。🐶
議論を呼ぶ買収歴と毒を盛る疑惑
- Hutool ツールライブラリ:買収後、異常な更新を頻繁にプッシュし、開発者から「不必要な依存注入」があると報告され、バンドルプロモーションやバックドアの布石ではないかと疑われています;
- LNMP ワンクリックインストーラ:金華のある会社(不 G 科技との関連が疑わしい)が買収後に悪意のあるスクリプトを埋め込み、サーバー情報を秘密裏に収集し、後にセキュリティ会社により阻止されて公開されました;
- Oneinstack:同様に「静かな更新に私物を混ぜる」問題に直面し、ユーザーはその「サプライチェーンによる毒盛りモデル」を指摘しています。
Hutool ツールライブラリ:買収後、異常な更新を頻繁にプッシュし、開発者から「不必要な依存注入」があると報告され、バンドルプロモーションやバックドアの布石ではないかと疑われています;
LNMP ワンクリックインストーラ:金華のある会社(不 G 科技との関連が疑わしい)が買収後に悪意のあるスクリプトを埋め込み、サーバー情報を秘密裏に収集し、後にセキュリティ会社により阻止されて公開されました;
Oneinstack:同様に「静かな更新に私物を混ぜる」問題に直面し、ユーザーはその「サプライチェーンによる毒盛りモデル」を指摘しています。
この会社は「買収 → 文書改訂 → 有料化 → クローズドソース」という四段階の戦略を常用しています:
- プロジェクトのホームページを修正し、自社製品を強制的に推奨(今回の Alist 文書に Vi**ub 広告が追加);
- 急いで有料版を立ち上げ(AList デスクトップ版の価格は 39.99 元);
- オープンソース機能を制限し、コアサービスをプライベート API に移行(Alist が依存している api.nn.ci サービスは将来的に停止される可能性があります)。
プロジェクトのホームページを修正し、自社製品を強制的に推奨(今回の Alist 文書に Vi**ub 広告が追加);
急いで有料版を立ち上げ(AList デスクトップ版の価格は 39.99 元);
オープンソース機能を制限し、コアサービスをプライベート API に移行(Alist が依存している api.nn.ci サービスは将来的に停止される可能性があります)。
あるユーザーは警告しています:このような操作は本質的に「オープンソースのハイジャック」であり、インフラを制御することでユーザーデータを収益化することを目的としています。
コミュニティの自助:フォークと防御ガイド#
システム的な信頼の崩壊に直面し、ユーザーは多方面で行動しています:
- 更新の一時停止:多くの技術メディアが Alist のバージョンを v3.40.0 前に凍結するよう呼びかけ、サプライチェーンによる毒盛りのリスクを避ける;
- フォークによる再生:コア貢献者の xrgzs がフォークプロジェクトを立ち上げ(コミュニティでは「黒奴の反乱」と呼ばれる)、Zfile などの代替案の人気が急上昇;
- データの隔離:敏感なクラウドストレージアカウントのリンクを解除し、独立した API キーを有効にし、集中型サービスへの依存を減らすことを推奨。
更新の一時停止:多くの技術メディアが Alist のバージョンを v3.40.0 前に凍結するよう呼びかけ、サプライチェーンによる毒盛りのリスクを避ける;
フォークによる再生:コア貢献者の xrgzs がフォークプロジェクトを立ち上げ(コミュニティでは「黒奴の反乱」と呼ばれる)、Zfile などの代替案の人気が急上昇;
データの隔離:敏感なクラウドストレージアカウントのリンクを解除し、独立した API キーを有効にし、集中型サービスへの依存を減らすことを推奨。