飞牛NAS这次「重大漏铜」,到底漏的是代码,还是信任?
一、发生了什么,从「路径穿越」到「异常访问风险」
先把事实摊开。
多个社区用户反馈,飞牛 fnOS 存在严重安全问题,通过「路径穿越」可以访问 NAS 上任意文件,系统配置、用户数据统统不设防。
你以為是简单的「看不到某个目录图标」,其实是只要掌握特定请求方式,就能越权读盘,逻辑上接近「整机文件系统裸奔」。
飞牛的官方说法是,在安全巡检和用户反馈中发现「公网环境下存在异常访问风险」,已在一周内逆向攻击链路、追踪木马样本,并推送 1.1.15、随后 1.1.18 安全版本阻断攻击。
一句话翻译
> 用户口径,这是一个能随便看我盘里一切东西的重大漏洞。
> 官方口径,我们发现了异常访问风险,已经修好了,请尽快升级。
这中间地「语气差」,就是今天争议的起点。
二、技术视角,这是怎样级别的「漏铜」?
我找了一个安全从业者朋友 A,问他「路径穿越到任意文件」到底算多严重。
> A
> 「在 Web 世界里,这类洞一点也不稀奇;
> 严重的是,你把它做成了个人数据中枢的 NAS 系统,还默认暴露在公网或通过穿透服务。
> 这相当于,整栋楼的大门没锁,只靠各家房门内侧拉个布帘子。
从公开描述可以大致推断
- 漏洞类型,疑似路径遍历 / 访问控制缺失,导致绕过正常权限检查,能读任意路径。
- 影响范围,只要设备暴露在公网(包括穿透、端口映射等),攻击者无需物理接触,就有机会扫描并命中。
- 泄露内容
系统配置文件(包括账号、服务配置等)
用户存储文件(照片、视频、文档、工作资料……)
- 现实后果
隐私外泄只是下限;
如果配置文件中还有其他服务凭据,连带风险会顺藤摸瓜。
你以为是「单点功能失效」,其实是权限边界设计有明显缺口。放在企业级领域,大概率会被评级为高危甚至严重。
所以,为什么很多玩家在社区里把「漏洞」说成「漏铜」,带着点戏谑?
因为在一个强调「家庭云」「私有云安全」的产品上,这种低层级安全把关出问题,确实有点「铜臭味十足」的尴尬感。
三、响应复盘,飞牛到底做对了什么,又踩在了哪儿?
把时间线粗略排一下(结合媒体与官方公告)
社区玩家先发现并讨论,提出「可以任意访问文件」的质疑;
飞牛内部开始排查,追踪「木马样本及变种」,逆向攻击链路;
一周左右,推送 1.1.15 补丁阻断攻击行为,并继续完善到 1.1.18;
对外发布《重要安全更新通知》,强调
「异常访问风险」「外部异常流量影响稳定性」;
本次攻击「定向针对 fnOS」「多维度复合攻击手法」;
成立安全快速响应团队,建立漏洞反馈入口并给予激励。
再看用户视角地吐槽
> 「你你以为是第一时间预警,其实是用‘异常访问’这种模糊词汇避重就轻,请不要用捂盖子的方式消耗用户信任。」
飞牛的回应则是典型安全圈说法
漏洞应在「修复完成后再披露」,否则会被有心人滥用;
细节不能直接公开,以免造成更大风险。
这两套叙事都不完全错,但组合在一起,问题就来了
> 用户要的是直白的风险告知,不是含蓄的技术战报。
如果一句话讲这场沟通失误
> 飞牛在「修洞」这件事上做得还算快,但在「说清楚这是个多大的洞」上,还是太像一个工程团队,而不是一个对消费者负责的品牌团队。
四、用户、厂商、安全圈,一场三方错位对话
我拉了个「虚拟圆桌」,把三个典型角色地心声拼在一起
1)NAS 玩家 B,
> 「你可以技术菜,但不能对我数据不上心。
> 我不是要你一天 0 CVE,我要的是,出事了,你第一时间跟我说清楚我会不会‘被看光’,我该怎么自救。」
2)创业者 C(假想的飞牛视角),
> 「团队不到百人,对标的是群晖、QNAP 这种老牌厂,产品刚起步就被几十万玩家拿各种奇葩姿势测试。
> 功能要快速补、生态要做、兼容性要适配,现在被打一棒,‘你安全不行’。
> 安全当然要上,但预算、人力、节奏,都得一点点来。」
3)安全从业者 A,
> 「安全从来不是‘加一个安全工程师’的问题,
> 而是整个开发、上线、运维链路里,每一步都愿不愿意为‘多一道安全校验’牺牲一点点速度。
> 哪个取舍,叫安全文化。有就有,没有就没有。」
所以,飞牛这次到底「错在哪儿」?
- 不是犯了一个漏洞,任何软件都会有漏洞;而是暴露了一个现实
在「快速起量的国产 NAS 创业公司」里,安全建设还停留在「补丁响应型」,没到「前置设计型」;
同时,又暴露了第二个现实
> 对 C 端用户来说,「我心里有没有数」比「你技术细节讲得多精妙」更重要。
五、国产 NAS 炒得越热,安全「补课费」就越高
过去两年,NAS 圈有两个明显变化
硬件门槛被干到地板
闲鱼 70 多块钱就能淘到 J4125 这种瘦客户机,装个飞牛 fnOS 就能启动一台「便宜 NAS」。
玩家折腾各类老机箱、情怀机箱跑 NAS,飞牛也所以在 DIY 圈火了一把。
国产 NAS 系统开始「卷体验」
有人用情怀机箱 V240 装了 fnOS,体验 UI、存储池、远程访问、链路聚合等功能,评价是「上手门槛低、功能齐全、体验像早期群晖」。
这类声量,迅速把飞牛推成了「民间热门选择」。
这背后意味着一个现实
> 越来越多普通人,把「家庭所有照片、工作文档、隐私文件」丢进一台自己组的「小黑盒子」,而这个盒子背后往往是一个刚起步的国产软件团队。
在这种背景下,安全的逻辑会发生一个质变
以前,国产 NAS 做不好,用户损失是「体验差点」「性能拉胯」;
今天,做不好,损失是「隐私裸奔」「工作资料被爬走」,甚至有企业把它直接当内网文件服务器用。
所以我更愿意把这次事件看成一个节点
> 飞牛被迫交了一次「安全入场费」,而这个费用迟早要交,只是看什么时候、用什么方式交。**
六、对飞牛的建议,补的不只是补丁,而是安全系统
从官方公告看,飞牛已经做了几件事,安全版本更新、成立安全快速响应团队、开放漏洞反馈通道并给予激励。这算是一个合格起点。
如果要走的更远,我会建议做这几件事
把「安全公告」做成一块独立产品,而不是一条论坛贴
独立安全公告页,按版本列出
风险级别(高/中/低)
影响范围(哪些版本、什么场景,是否暴露公网)
用户需要做的动作(升级/改密码/检查日志等)
尽量用用户能听懂地言语,而不是一句「异常访问风险」概括一切。
把「安全测试」前置到开发流程里,而不是事后专人救火
新功能上线前做静态/动态安全测试;
所有对外暴露接口必须过一次「越权访问专项检查」;
强制「接口 Owner 要为自己的权限模型写设计说明」。
把社区玩家当成「白帽军团」,而不是 Bug 提单人**
既然已经有漏洞激励计划,就把奖励额度、评估标准、处理时限公开透明;
定期发布「安全贡献榜」,把常年帮你找洞的人当成外部安全顾问看待。
默认策略改成「安全优先,易用其次」
所有涉及公网访问的功能,默认关闭;
打开时必须经过显式风险提示,并推荐使用加密隧道、2FA、防火墙规则等;
远程穿透服务,最好强化限流和异常行为检测,宁可偶尔误杀,也不要轻易放行。
一句话
> 在 NAS 行业,安全你以为是「差异化卖点」,其实是「准入门槛」。
> 你可以 UI 丑一点、功能少一点,但绝不能让用户在「不知情」的情况下,把一生照片暴露在公网爬虫面前。
七、对普通用户,现在最重要的是「止血」,不是「吃瓜」
无论你对飞牛好感如何,只要你在用 fnOS,这一波你该做的事很简单,立刻升级系统
官方已明确要求升级到 1.1.18 最新版本以阻断相关攻击链路。
升级完成后,重启一次系统,确认版本号正确。
审视自己的「公网暴露面」
检查路由器端口映射 / UPnP,把你不确定的映射统统关掉;
没有公网刚需的,把 NAS 的公网访问全面关停;
必须公网访问的,至少
走 VPN / 加密隧道;
开启 2FA;
给管理后台设定复杂密码,并限制 IP 访问。
改密码 + 开日志 + 查异常
管理员账号密码立刻重置,并避免与其他服务共用密码;
打开系统访问日志,简单看一下过去一两周的异常登录、陌生 IP;
如果你有企业敏感资料,建议再做一次整体风险评估。
给自己的数据做一份「物理冷备」
至少准备一块离线硬盘,把最重要的数据周期性同步一份;
你以为是只针对飞牛,其实是面对任何 NAS 品牌都应该做的「底线操作」。
> 在安全事件面前,「吃瓜」不会降低你的风险,
> 唯有「升级 + 收缩攻击面 + 良好备份习惯」才会。
八、这次「漏铜」,飞牛还有没有翻盘机会?
从行业视角看
你以为是国产 NAS 的终点,其实是它们集体进入「安全时代」的起点;
飞牛这次暴露的问题,其实很多国产软件公司都或多或少存在,只是没被这么集中放大。
从品牌视角看,未来两件事会决定飞牛还能不能继续往上走
这次之后,会不会真的把安全变成「第一优先级」?
而不是事件过去就回到「先做功能、再修洞」的老路。
之后每一次安全事件,会不会讲得比这次更清楚?
用户可以接受你有漏洞,但很难接受你「有漏洞又不讲清楚」。
最后用一句略带偏见的总结
> 在安全面前,「会不会出事」不重要,
> 「出了事之后,还有没有人信你」才重要。
飞牛这次「重大漏铜」,漏出的不只是代码里的 bug,还有团队与用户之间真正的信任状况。
洞已经补上了,下一步,就看它怎么修这道「看不见的缝」。
