飞牛漏洞我不幸中招：是厂商傲慢，还是我对公网太天真？

最近，飞牛因为一个严重漏洞的处理方式被推上了风口浪尖。官方那句“们不为别人的错误负责更是激起了不少用户的逆反心理。之前我还在旁边看戏，没想到这次自己也成了中招的一员。今天不得不重装了系统，这次事件结结实实地给我上了一课。我不打算单纯地喷厂商，也不想无脑洗地，只想聊聊这次的教训。

厂商的鸵鸟策略

1.1.18 版本的更新是在漏洞被公开讨论、甚至在圈子里传遍了将近一个月后才推出的。这期间，大量的设备其实是在公网上裸奔。这已经不是所谓的鸵鸟策略或者低调修复了，这是在风险已经完全扩散的情况下，反应迟缓。这种时间差，对于黑客来说就是狂欢，对于我们用户来说就是灾难。

当然，我希望这次事件之后，飞牛能加大安全投入。作为一个主打公网体验的 NAS 系统，这种事有一就有二，漏洞是永远堵不完的。

其次就要说到用户这一端了。这次事件其实也给很多用户上了一课。

很多人觉得 NAS 买回来就要随时随地外网访问，但大家忽略了一个基本常识：非必要，不暴露公网。

一旦选择暴露公网，某种意义上，你就已经默认接受了数据有被窥视的风险。特别是这次的飞牛云的中继功能，因为 ID 设置相对简单，很容易被批量扫描到 Web 登录页面，这无疑是给了攻击者把柄。

转投群晖、威联通就安全了？太天真

这次出事后，很多人的反应是：飞牛不行，我还是回群晖、威联通吧，大厂靠谱。

说实话，这种想法治标不治本。飞牛云这次是被上了一课，但这课不仅仅是给飞牛上的。群晖、威联通就没有漏洞吗？当然有，甚至历史上因为高危漏洞导致勒索病毒爆发的案例也不在少数。

只要你依然习惯简单粗暴地把 NAS 暴露在公网，无论是谁家的系统，本质上都是在赌博。你赌的是黑客还没扫到你，或者厂商的 Zero-day 漏洞还没被发现。

真正的有效的解法：不想裸奔，就自建 VPN

这次中招后，我彻底想明白了：在这个黑暗森林般的互联网里，依靠厂商的防火墙是不够的。

无论是飞牛自带的中继，还是直接公网 IP 端口映射，本质上都是把大门敞开。真正的安全，是彻底关闭公网暴露面。

如果你真的需要外网访问，唯一靠谱的方案是自己做好 VPN 服务（比如 WireGuard、Tailscale 等）。把 NAS 关在纯内网里，只通过加密隧道回家。这虽然门槛高一点，稍微麻烦一点，但这是目前唯一能从根源上规避漏洞的方法。

该用的还得用

这次飞牛云事件虽然让我损失惨重，但也让我丢掉了侥幸心理。

这次事件影响恶劣吗？确实恶劣。但对于我们用户来说，其实选择并不多。但市面上能打的替代品真没几个。我的看法是：有影响，但还不至于致命。 该用的还会用，只是大家以后得长个心眼了。