本来不打算在 v2 提 alist 的，既然有人还去我这个帖子下面评论了就说一下

前两天才更新到 v3.45.0 ，portainer stack 更新时候顺手把上一个版本删除了忘记版本号

@oneisall8955 最好先回退了

请问不带"私货"的最新版本号是多少？我看了下我之前的是 v3.41.0 ，每日备份 portainer 找回来上个版本号了

源码都是可查的吧，看了一眼项目，最近一年我感觉这个项目已经没什么人提交代码了

@Hozoy docker 编译的二进制文件不一定吧，如果夹带私货能替换掉的吧？

唉，唉唉，用国产开源导致的

除非你防火墙开白名单，不然爬虫自然会来爬
https://en.fofa.info
https://www.shodan.io

链接库有毒就没办法了，投毒一段时间，然后删除库重新上传没毒的，然后继续换其他库搞

@hausen #5 看了一眼，现在这个项目每次 relases 都是原作者 xhofe 在发布吧，并且都是用 Github Action 自动发布了，找了 xhofe/alist:latest 镜像看了一眼，https://hub.docker.com/layers/xhofe/alist/latest/images/sha256-b21e12a6b620776f18e9da6c9015947d826a14ffdaa174f2f8ffce1697e22920 ，sha256 和 Github Action 上的也可以对应的上呀 https://github.com/AlistGo/alist/actions/runs/15224382114/job/42824561610

@oneisall8955 听说是 3.40.0 ，项目卖了不吱声，还是收购 hutool 的垃圾公司，只能找开源替代了

这玩意哪里需要你自己泄露，佛法一搜不都是吗？你还能跑出去？
https://fofa.info
我不是太懂佛法的语言，但我什么都搜到过，alist 这种都是小儿科
打 web 远控的，ssh 的，各类资源站的，到处都是啊

@kero991 搜到了你就能下载？

@kero991 alist 资源肯定也是泄露才有的吧

@hausen #12 当然不能，但可以巧妙的用搜索语法，或者人肉排除需要密码的 alist
说实话，不设防的还蛮多的。
当然这不重要，你说的是域名泄露，而域名这玩意就不可能不泄露。

@kero991 #14 之前没遇到这玩意，就搭了这个最新版的以后出现的问题

@hausen 至少在 23 年左右就有类似的问题了……我之前就看到过类似的提醒