Alist降级成v3.40，重新生成onedrive的密钥

luffy

背景分析

近期，Alist 开源网盘工具被贵州某公司（不够科技）收购，原开发者 Xhofe 退出社区，引发广泛关注。官方文档被篡改，新增 QQ 群和 “VIP 技术支持”，官网域名从 alist.nn.ci 更换为 alistgo.com，甚至一度出现 404 错误。更严重的是，疑似收集系统信息的代码提交（PR 未合并）以及 Docker 镜像和桌面版分发链接指向不明第三方地址，存在 供应链投毒 风险，类似 LNMP 和 Oneinstack 的先例。这可能导致 隐私泄露（如网盘授权信息、文件数据）或设备安全问题。

对于依赖 Alist 分享链接的用户来说，直接更换网盘工具会导致 URL 变更，影响项目或用户体验。因此，降级到安全版本（如 v3.40.0）并加强 API 密钥管理是更实际的应对策略。本文整合了社区经验，结合用户提供的降级方法，详细说明如何降级 Alist 并重新生成 OneDrive 密钥，同时针对 CentOS 7.9 等低版本系统提供兼容性解决方案。

风险分析

• 供应链投毒风险
  新接手方可能在代码或分发包中植入恶意代码，窃取网盘授权数据或系统信息。近期异常包括 Docker 镜像地址从 hub.docker.com/r/xhofe/alist 变更为 alist666，以及文档篡改。
• 分享链接依赖
  Alist 的分享链接与服务端部署绑定，更换工具（如 Cloudreve、Filebrowser）会导致 URL 失效，影响现有项目。
• API 密钥安全隐患
  Alist 通过官方 API 连接网盘（如 OneDrive、阿里云盘），若代码被投毒，密钥可能被窃取，导致账户滥用或文件泄露。
• 系统兼容性问题
  部分用户在低版本系统（如 CentOS 7.9）上运行 Alist v3.40.0 时，因 GLIBC 版本过低（2.17 < 2.28）报错，需使用 musl 版本解决。
  
  

降级到安全版本 v3.40.0

为避免潜在风险，建议降级到 v3.40.0（2025 年初发布，由原开发者维护，安全性较高）。以下是详细步骤，适用于二进制安装用户（以 CentOS 7.9 为例）。

1. 停止当前 Alist 服务系统服务方式：

1. systemctl stop alist

复制代码

手动运行方式：

查找 Alist 进程：

1. ps -ef | grep alist
   
2. kill <pid>

复制代码

2. 下载并安装 v3.40.0

• 默认安装路径：假设 Alist 安装在 /opt/alist（若使用自定义路径，请替换）。
• 标准版本（适用于 GLIBC ≥ 2.28 的系统）：
  
  

1. cd /opt/alist
   
2. wget https://github.com/AlistGo/alist/releases/download/v3.40.0/alist-linux-amd64.tar.gz
   
3. tar -zxvf alist-linux-amd64.tar.gz
   
4. chmod +x alist

复制代码

CentOS 7.9 兼容版本（GLIBC 2.17）： CentOS 7.9 默认 GLIBC 版本为 2.17，低于 v3.40.0 要求的 2.28，会报错：

1. ./alist: /lib64/libc.so.6: version `GLIBC_2.28' not found

复制代码

使用 musl 版本（不依赖 GLIBC，适配 CentOS 7.9 x86_64）：

1. cd /opt/alist
   
2. wget https://github.com/AlistGo/alist/releases/download/v3.40.0/alist-linux-musl-amd64.tar.gz
   
3. tar -zxvf alist-linux-musl-amd64.tar.gz
   
4. chmod +x alist

复制代码

3. 启动服务系统服务方式：

1. systemctl restart alist

复制代码

手动运行方式：

1. ./alist server

复制代码

4. 验证降级结果

• 访问 Alist 管理界面（默认 http://<your_server>:5244），确认版本为 v3.40.0。
• 检查分享链接是否正常，确保数据和配置文件（通常在 /opt/alist/data/config.json）未丢失。
• 备份建议：降级前备份配置文件和数据库：
  
  

1. cp -r /opt/alist/data /opt/alist/data_backup

复制代码

5. 隔离运行环境

• 建议：在 Docker 或虚拟机中运行 Alist，限制权限，降低投毒风险。
• Docker 降级操作：
  
  

1. docker stop <container_name>
   
2. docker rm <container_name>
   
3. docker pull xhofe/alist:v3.40.0
   
4. docker run -d --name alist -v /path/to/config:/opt/alist/data -p 5244:5244 xhofe/alist:v3.40.0

复制代码

设置网络隔离：

1. docker network create alist-net
   
2. docker run --network alist-net ...

复制代码

如何删除原来的onedrive密钥并新建，参考这个。
https://www.nodeseek.com/post-361319-1


其他网盘 API 与管理

Alist 还通过官方 API 连接以下网盘，需类似管理：

• 阿里云盘：使用开放平台 API，需 Refresh Token。访问 alipan.com 撤销并重新授权。
• 百度网盘：通过百度开放平台 API，需 Access Token 和 Refresh Token。检查 pan.baidu.com 的授权管理。
• Google Drive：使用 Google Drive API，需 OAuth 2.0 授权。访问 myaccount.google.com/permissions 管理。
  
  

通用建议：

• 定期检查网盘账户登录记录，撤销可疑授权。
• 使用最小权限原则，仅授予 Alist 必要 API 范围。
• 监控 Alist 的网络请求（浏览器 F12 > Network），确保 API 调用指向官方地址（如 graph.microsoft.com）。
  
  

替代方案与社区动态

若对 Alist 长期安全性存疑，可考虑以下替代工具（注意：切换会导致分享链接失效）：

• Filebrowser：轻量级文件管理，支持 WebDAV（filebrowser.org）。
  
  

社区动态：Alist 社区正在讨论分叉项目（如 “Blist”），可关注 GitHub Discussions（issue #8649、#8653）或 Telegram 群获取最新进展。避免加入新接手方添加的 QQ/WeChat 群，防止信息泄露。

luffy

这里以Centos7.9为例，换成NodeSeekDev的版本。


登录后alist后台，有个备份，备份一下。
停掉服务

1. systemctl stop alist
   
2. cd /www/wwwroot/file.****/alist
   
3. wget https://github.com/NodeSeekDev/alist/releases/download/beta/alist-linux-musl-amd64.tar.gz
   
4. tar -zxvf alist-linux-musl-amd64.tar.gz
   
5. chmod +x alist
   
6. systemctl start alist

复制代码

如果不是centos，就用

1. systemctl stop alist
   
2. wget https://github.com/NodeSeekDev/alist/releases/download/beta/alist-linux-amd64.tar.gz
   
3. tar -zxvf alist-linux-amd64.tar.gz
   
4. chmod +x alist
   
5. systemctl start alist

复制代码