如果你是 fnOS 的运营经理，如何回应此次安全事故会更妥当？

安全

事故

47 条回复 • 2026-02-02 19:27:25 +08:00

1

InDom

7 小时 9 分钟前

4

什么事故?

2

shoaly

7 小时 8 分钟前

1

反正最不妥当的方式, 已经看到了

3

shoaly

7 小时 6 分钟前

1

在补充一句, 那么辛苦的写代码, 赚名声, 现在的做法对得起那些年辛苦编写的代码么....

4

AmericanExpress

7 小时 4 分钟前 via iPhone

想象一下如果当年 log4j 的 cve 是用飞牛这种方式处理的🤣🤣🤣

5

guiys

7 小时 4 分钟前 via Android

fnos 没有运营经理

6

Rorysky

7 小时 2 分钟前

3

把这个低级的鉴权 bug 称为 0day 漏洞，以显示飞牛的技术实力，在黑客级

7

geekvcn

6 小时 40 分钟前 via Android

直接学国内同行，直接把项目卖给灰黑产公司，套现离场。缺钱了再回来搞个飞狗 OS 循环，回应啥？

换句话说飞牛做高级别等保就有大企业和政府企事业单位采购吗？换句话说那些小白 Windows 不打安全补丁和别的 Linux 发行版各种运行来历不明的脚本，公开到公网就安全了？那肉鸡早就不存在了……

安全永远不能靠软件，得有安全意识，和安全习惯，我倒觉得飞牛给一对安全小白上了一堂安全课，一些啥安全意识都没的人就喜欢啥都开公网上

8

geekvcn

6 小时 35 分钟前 via Android

我个人不用飞牛也没用过，我内网服务保底套一个非标端口 ssh tunnel 访问，就这还要三天两头升级 ssh ，ssh 漏洞被爆出来的也不少，对于没安全意识和能力的人访问内网服务套个 VPN 是底线不是可选

9

geekvcn

6 小时 32 分钟前 via Android

飞牛出软件安全事故动静这么大，我想无非就两个原因，一是用的人多，二是很多人第一次存重要资料的服务器裸奔了，就那安全意识以前不存重要资料的机子被挂马估计都无所谓

10

spike0100

6 小时 12 分钟前

很多用户估计还不知道这件事情呢。

11

AkinoKaedeChan

6 小时 6 分钟前

如果要做 2C ，那现在这样装死最好啊，成本低而且不会被告。如果要做 2B ，算了大概也做不了……

12

Panameragt

6 小时 3 分钟前

1

先沉淀 10 年,我看好你 fnOS 加油

13

lmmir

6 小时 3 分钟前

回应: 你们这群牛马,白嫖了还要说三道四.

14

Shura

6 小时 1 分钟前

对于有些人来说，这个产品本身就是有原罪的，怎么回应没没用。

15

1zh3n

5 小时 57 分钟前 via Android

5

看看公众号评论你就知道了，都是境外势力、友商打击，别有用心的人挑起事端。什么漏洞，这是小 bug 。至于用户数据安全，那是啥

16

1298098

5 小时 52 分钟前

玩具而已

17

expy

5 小时 32 分钟前

草台班子照着大厂抄就行，前段时间的 Next.js 不刚搞了一次。

18

Hephaistos

5 小时 22 分钟前

@geekvcn 飞牛这个不只是公网暴露的问题了，用他们家内网穿透服务就有问题

19

zhengfan2016

5 小时 12 分钟前

参考隔壁土下座

20

axiao12

5 小时 10 分钟前

@Hephaistos 用 Fnconnext 也会有问题吗？我看发出来的都是需要暴露公网才会中招

21

Hephaistos

5 小时 8 分钟前

@axiao12 有啊，只要能看到登录页就能进去

22

dilidilid

5 小时 3 分钟前

3

@axiao12 你这条评论就是打脸各种替飞牛开脱的说法，现实就是大部分小白用户直到现在都不知道发生了什么。
飞牛现在的应对完全就是一丁点没把用户的数据安全当回事，FNC 不拦截不公告不下线，就是当鸵鸟赌大部分人不知道，而还没有更新新版本的 FNC 终端在这段时间（包括现在）就完全成为黑灰产的肉鸡。

23

penzi

5 小时 1 分钟前

参考他们论坛的评论：有针对，说明有人害怕了。加油。

友商太坏了，台湾太坏了，美国太坏了

24

curtinp

4 小时 52 分钟前

@axiao12 也会的

25

june4

4 小时 42 分钟前

安全是要花钱的，又看不到直接的效益，这就要看老板的格局了，显然这家不行

26

Admstor

4 小时 39 分钟前

我会这样处理

1 非漏洞，是一些程序 bug ，现已修复。警告有关厂商和一小部分所谓程序员带节奏，我司保留依法追究有关谣言权力。

2 已经通知受影响客户升级系统并提供相关技术支持，我司也即将全量推送最新修复补丁，客户的数据安全与信任是我们不懈的追求。

3 此事件中我司有关工作人员深夜 2 点持续攻坚，坚持数据安全为第一，快，稳，准的编码方针，仅用几个小时就已将补丁制作出来，展现了不畏艰难，客户至上的工作理念。

4 客户的需求是我们不断进步的动力，同时欢迎社会各界对我司系统进行监督，如若发现 bug ，通过合理合法渠道有序进行上报，坚决杜绝非法上报。

5 我司已于有关部门建立安全合作机制，将对任何利用我司产品 bug 获利行为予以严厉制裁，切勿以身试法。

27

axiao12

4 小时 33 分钟前

@dilidilid 你是什么利益相关方吗，我只是作为个人用户问一问而已，就被打成了开脱？因为我之前看到说是要公网才会有这个问题，现在看到 fnid 走中继也会，我就确认一下后续是不是应该换内网穿透的方式。我这次并没有中招我以为是因没有开端口映射（实际电信云带宽根本不给公网 IP ）。

28

louol

4 小时 9 分钟前

1

@axiao12 这次出问题的是飞牛系统的网页入口，只要能看到网页就中招，除非你对网页入口自己加了额外的保护或者二次验证。
现在官方的 fn connect 就是直接的无保护的内网穿透，并且好像到现在没有对此做任何保护：对未更新的 nas ，现在你拿拼接的地址加在 fn connect 域名后面就能直接拿文件！
个人建议你再看看另一个人的说辞，他只是强调有人像你一样不知道事情的严重性。
马上关了 fn connect ，再考虑要不要接着用飞牛吧。

29

LnTrx

4 小时 7 分钟前

可以参考一下威联通，2024 年漏洞的处理流程是：2 月 27 日发新闻稿呼吁用户升级 myQNAPcloud Link ，2 月 29 日不再允许通过 App 连接，3 月 9 日发布安全通告。
https://www.qnap.com/zh-tw/news/2024/qnap-%E6%8F%90%E9%86%92%E7%94%A8%E6%88%B6%E6%9B%B4%E6%96%B0-myqnapcloud-link-%E8%87%B3-v2-4-52-%E4%BB%A5%E4%B8%8A%E7%89%88%E6%9C%AC
https://www.qnap.com/zh-tw/security-advisory/qsa-24-09

30

96

4 小时 7 分钟前

飞牛的运营简直是…

当初加入飞牛的民间技术组，要求**每周三篇**技术文章，且义务劳动。不够三篇直接踢出去。

一整个震惊。

31

jpyl0423

3 小时 55 分钟前

@axiao12 #27 他没有说你开脱，是官方目前的回应导致了你误认为只有自己配置了公网转发才有问题，这才是飞牛现在被口诛笔伐的重点

32

dilidilid

3 小时 54 分钟前 via iPhone

@axiao12 你误会了，我不是说你开脱，而是之前有不少人说飞牛是国内公司/小公司/用爱发电，所以他们有漏洞或者漏洞修复不及时可以理解，人家现在也修复了论迹不论心 blabla

但你的经历其实说明飞牛藏着掖着的做法导致大部分飞牛用户根本不知道发生了什么。回到你原来的问题，是的，只要你的登录页面可以被访问你的飞牛 nas 就能被扒个一干二净。不管是走 fnc 还是走 cloudflare proxy 都一样