logo

帮助中心

  • 从这里开始
  • 如何安装和初始化飞牛 fnOS?
  • 如何安装 App 并连接到飞牛 NAS?
  • 如何安装飞牛 TV 并连接到影视服务器?
  • 如何在虚拟机安装飞牛 fnOS?
  • 安装系统异常情况处理
  • 存储管理
  • 如何创建存储空间?
  • 硬盘会自动休眠吗?
  • 如何使用 SSD 缓存加速?
  • 飞牛影视
  • 如何安装飞牛影视和创建媒体库?
  • 如何为家人朋友开通影视账号?
  • Apple TV 上如何通过 Infuse 使用飞牛影视?
  • Apple TV 上如何通过 VidHub使用飞牛影视?
  • 创建媒体库时无法选择文件夹?
  • 电视直播 Web 端播放帮助
  • 相册
  • 如何备份手机照片?
  • 如何共享相册给设备内其他用户?
  • AI 相册功能说明
  • 纯血鸿蒙设备如何备份手机照片?
  • 如何将 Google Photos 导入到飞牛?
  • 网页相册播放视频画面黑屏但是有声音?
  • 远程访问
  • 如何远程访问到飞牛 NAS?
  • 如何管理 FN Conncet权益?
  • 系统设置
  • 如何创建新用户?
  • 如何使用无线网卡?
  • 关于蓝牙配网
  • 如何修改飞牛系统的端口?
  • 如何使用系统配置的备份还原功能?
  • 系统设置经常出现网络异常?
  • 如何启用账号双重验证(2FA)
  • 无法完成账号双重验证(2FA)?
  • 如何启用邮件通知服务
  • 文件管理
  • 如何将我的文件共享给其他用户?
  • 如何创建文件的外部分享链接?
  • 如何共享团队文件?
  • Windows ACL 权限机制与升级转换说明
  • 文件共享协议
  • Windows 通过 WebDAV 挂载飞牛注意事项
  • Windows 通过 NFS 挂载飞牛注意事项
  • SMB 3 多通道生效条件
  • DLNA 支持的媒体文件格式
  • 虚拟机
  • 如何安装和使用虚拟机?
  • 如何使用虚拟机硬件直通?
  • 飞牛同步
  • 飞牛同步功能介绍
  • 如何使用按需同步
  • 常见使用问题说明
  • 备份
  • 加密备份功能介绍
  • iSCSI
  • iSCSI 名词介绍
  • iSCSI 基础功能介绍
  • 用户组配置说明
  • CHAP 配置说明
  • 常见使用问题说明
  • 硬件
  • 飞牛官方
  • 零刻×飞牛
  • AI & OpenClaw
  • 飞牛 OpenClaw 配置微信 ClawBot 教程
  • 飞牛 OpenClaw 配置钉钉机器人教程
  • 飞牛 OpenClaw 配置飞书机器人教程
  • 安全性
  • 安全披露
  • 更多
  • 联系我们
  • 本地账号与云端账号的区别?
  • 管理员和普通用户权限的区别?
  • 飞牛 ARM 版本公测声明
  • 关于飞牛 fnOS 系统后续盈利说明
  • 安全漏洞报告奖励计划
  • Rockchip 瑞芯微系列 eMMC USB 线刷教程
  • Rockchip 瑞芯微系列 TF 卡刷教程
  • Amlogic 利用 USB U盘刷机教程

    • 飞牛始终将 用户数据安全与系统稳定性 置于首位。

    我们诚挚邀请广大安全研究人员、技术爱好者与开发者共同参与 fnOS 安全共建,携手打造更安全、更可靠的 NAS 生态体系。为了感谢主动发现并向飞牛报告安全问题或隐私漏洞的用户,飞牛将通过 安全漏洞报告奖励计划 给予报告者奖金报酬。

    漏洞测试范围(Scope)

    本计划适用于:

    • fnOS 官方正式发布版本
    • 飞牛自有域名与服务
    • 官方 App 与 API 接口

    不包含:

    • 已停止维护的历史版本
    • 第三方插件或第三方组件
    • 非官方修改固件
    • 非飞牛控制的第三方服务

    一、漏洞等级与奖励标准

    漏洞等级与最终奖励金额将综合漏洞实际影响范围、可利用性、默认配置影响程度、是否可规模化利用及报告质量等因素综合评定。

    严重漏洞(Critical)

    奖励金额:¥20,000 – ¥50,000

    指在默认配置下,可导致设备或系统处于完全失控状态的安全问题,包括但不限于:

    • 未授权获取系统最高权限
    • 未授权执行任意代码
    • 可远程接管设备
    • 可批量获取核心用户数据
    • 身份认证机制被完全绕过

    要求

    • 可稳定复现
    • 无需社会工程学
    • 不依赖非官方配置或非常规部署

    金额说明

    • 单设备影响:¥20,000 – ¥30,000
    • 可规模化或批量影响用户:¥30,000 – ¥50,000

    高危漏洞(High)

    奖励金额:¥5,000 – ¥20,000

    指可对系统安全、数据安全或权限体系造成重大影响,但未达到完全失控级别的问题,包括但不限于:

    • 权限提升漏洞
    • 未授权访问敏感数据
    • 核心功能访问控制失效
    • 可影响多个用户账户安全
    • 可导致数据被篡改或删除

    金额说明

    • 需登录前提:¥5,000 – ¥10,000
    • 可横向影响多个用户或设备:¥10,000 – ¥20,000

    中危漏洞(Medium)

    奖励金额:¥1,000 – ¥5,000

    指在一定条件下可能影响系统或数据安全,但利用门槛较高或影响范围受限的问题,包括但不限于:

    • 局部权限控制缺陷
    • 条件受限的信息暴露
    • 受环境限制的访问控制缺陷
    • 需要特定前提条件才能利用的安全问题

    说明

    • 可能影响用户数据或权限,但存在明显利用前置条件
    • 不直接导致权限完全失控或核心数据泄露

    低危漏洞(Low)

    奖励金额:<= ¥1,000

    指对系统安全影响较小,风险可控的问题,包括但不限于:

    • 低敏感信息暴露
    • 对数据安全无直接影响的逻辑问题
    • 不具备实际利用价值的安全缺陷

    说明

    • 不涉及核心权限或敏感数据
    • 不影响系统控制权

    等级与奖励说明

    • 最终等级与奖励金额由 fnOS 安全团队综合评定
    • 同一漏洞仅奖励首位有效报告者
    • 报告质量高、分析深入或提供修复建议者,可酌情追加奖励

    二、不予奖励的情况

    为保障计划公平性,以下情况一般不予奖励:

    • 无重大安全影响的开放重定向问题
    • 普通暴力破解类问题(无设计缺陷前提下)
    • 纯理论性漏洞或无法复现的问题
    • 自动化扫描工具生成的通用报告
    • 已公开或已修复的漏洞
    • 第三方组件自身漏洞(未涉及飞牛代码逻辑)

    三、漏洞提交方式

    请将完整漏洞报告发送至官方安全邮箱:

    safety@fnnas.com

    邮件中请务必包含以下内容:

    • 漏洞详细描述及风险分析
    • 清晰、可稳定复现的操作步骤(建议基于全新环境验证)
    • 受影响产品及 fnOS 版本号
    • 有效 PoC(Proof of Concept)或视频演示
    • 联系方式(便于沟通确认)

    四、报告流程

    1. 提交与评估

    • 通过上述联系方式提交安全问题或隐私漏洞报告
    • 飞牛 fnOS 安全团队将在 48 小时 内确认收件并初步评估
    • 必要时请求补充信息,以验证漏洞的有效性与影响范围

    2. 验证与修复

    确认漏洞有效后,我们将根据漏洞等级制定修复计划:

    • 严重漏洞:10 个工作日内发布安全补丁
    • 高危漏洞:视影响范围安排
    • 低危漏洞:纳入版本优化计划

    3. 复测验证

    • 修复完成后邀请提交者参与复测
    • 确保漏洞被彻底消除,无衍生风险

    4. 奖励发放与致谢

    • 复测通过后进入奖励审批流程
    • 奖励将在 30 天内 发放完成
    • 支持方式:银行转账、支付宝等主流支付渠道
    • 经授权后,可在飞牛官网「安全致谢」页面公开鸣谢(支持匿名)

    负责任披露原则

    我们倡导并遵循 负责任漏洞披露机制

    • 在漏洞修复完成前,请勿公开相关细节
    • 禁止利用漏洞进行任何破坏性行为
    • 严禁泄露用户数据或影响真实业务环境

    对于遵循规范提交漏洞的研究人员,飞牛将给予充分尊重与保护。

    安全港条款

    对于遵循本计划规则、善意报告漏洞的安全研究人员,在合理范围内进行安全测试,不会被视为非法入侵行为。

    前提是:

    • 未恶意利用漏洞
    • 未泄露用户数据
    • 未影响真实业务环境

    威胁情报协作计划

    飞牛鼓励安全研究人员、行业伙伴与安全社区向我们提供与 fnOS 生态相关的威胁情报,共同提升平台整体安全防护能力。

    威胁情报包括但不限于:

    • 针对 fnOS 或相关服务的攻击活动情报
    • 已在真实环境中出现的漏洞利用行为
    • 恶意扫描、利用工具或攻击脚本信息
    • 针对 NAS 设备的恶意软件或攻击样本
    • 影响飞牛用户安全的潜在攻击趋势

    提交的情报可包括但不限于以下类型:

    • 攻击源 IP 地址或 IP 段
    • 恶意域名或 URL
    • 恶意文件 Hash(MD5 / SHA1 / SHA256)
    • 攻击流量特征或网络行为特征
    • 恶意脚本或攻击工具样本
    • 针对 NAS 设备的恶意软件样本
    • 已观察到的漏洞利用行为

    对于高价值且经验证有效的威胁情报,飞牛将根据情报价值给予适当奖励或致谢。

    威胁情报奖励原则

    为保证情报价值与公平性,威胁情报奖励需满足以下条件:

    • 情报内容真实且可验证
    • 情报未在公开渠道广泛披露
    • 情报未被飞牛安全团队通过现有监测或遥测系统掌握
    • 情报对飞牛产品、服务或用户存在潜在安全影响

    在上述条件满足的情况下,飞牛安全团队将对情报进行评估,并根据其价值、影响范围及可操作性酌情给予奖励。

    情报内容建议包含

    为便于验证与分析,建议提交情报时提供以下信息:

    • 威胁情报描述
    • 攻击行为或利用方式
    • 相关日志、流量特征或 IOC 信息
    • 攻击工具、样本或相关技术细节
    • 影响范围评估(如适用)

    情报奖励说明

    威胁情报奖励金额将根据情报价值进行综合评估,包括:

    • 情报是否为首次发现
    • 情报是否具有可操作价值
    • 情报是否可帮助提前防御潜在攻击

    对于经验证有效的高价值情报,飞牛将提供相应奖励或公开致谢。

    不予奖励的情报类型

    以下类型情报一般不在奖励范围:

    • 已公开披露的安全事件或漏洞
    • 已被安全社区广泛传播的情报
    • 仅为新闻或公开报道内容
    • 无法验证来源或真实性的情报

    第三方应用安全说明

    飞牛应用生态中部分应用由第三方开发者提供。此类应用的代码与安全维护责任原则上由其开发者自行承担。

    为持续提升生态安全水平,我们将不断加强对第三方应用的审核机制与上架规范,包括但不限于:

    • 上架前的基础安全审查
    • 权限声明规范化
    • 风险行为提示机制
    • 漏洞响应协作流程优化

    关于第三方应用漏洞的处理原则

    1. 飞牛官方原则上不对第三方应用自身漏洞提供现金奖励。
    2. 我们仍然欢迎安全研究人员对第三方应用进行漏洞报告。
    3. 对于经验证确认存在安全风险的应用,我们将视情况采取以下措施:
      • 暂时下架或限制下载
      • 发布安全风险公告
      • 通知开发者进行修复

    关于奖励与协助机制

    对于已确认的第三方应用漏洞:

    • 飞牛可协助安全研究人员与应用开发者建立沟通渠道;
    • 若第三方开发者愿意提供奖励或致谢,飞牛将协助沟通与协调;
    • 是否提供奖励及奖励金额,由应用开发者自行决定。

    安全责任说明

    第三方应用的漏洞责任归属于其开发者。 飞牛不对第三方代码缺陷承担直接责任,但将积极履行平台安全管理与风险控制义务。

    最终解释权

    漏洞等级与最终奖励金额将综合漏洞实际影响范围、可利用性、默认配置影响程度、是否可规模化利用及报告质量等因素综合评定。

    飞牛保留对本计划的最终解释权。

    安全共建 · 感谢有您

    安全不是一项功能,而是一项长期承诺。

    飞牛 fnOS 将持续加大在安全体系、漏洞响应与防护能力上的投入,您的每一次负责任披露,都是我们不断进步的重要动力。

    让我们携手守护每一份数据的安全与信任。

    如有疑问,欢迎随时联系:

    safety@fnnas.com

    此文章对您是否有帮助?