之前本地搭建的 alist 使用云服务器暴露在公网上，之前一直有开二验，但是由于开二验不能被其他list挂载就关闭了二验证。 
今天突然发现云服务器上传消耗巨大，才发现有人一直尝试下载alist文件，都是携带签名进行下载如 ?sign=T42d4vbRHIzxxAfAS3fTV9c3mUGU7nlvdivEH7lFfGc=:0，应该是没有泄露账号密码的可能。并且下载也没有很大规律，并且下载的基本也不是重要文件，所以不清楚这是不是机器扫描的行为。 
现在就有疑问不知道是漏洞我做了什么操作导致的？alist 版本是 v3.45.0