JieGou has evolved.
Since this post was published, JieGou has pivoted from an AI automation platform to an AI-powered operations company delivering managed marketing and operations services. Learn about our managed services →
时间紧迫
明天,2026 年 3 月 25 日,是 CISA 要求所有联邦文职行政部门(FCEB)机构修补或缓解 n8n 已被积极利用漏洞的最后期限。n8n 是广受欢迎的开源工作流自动化平台。无论您的组织是政府机构、受监管行业还是企业,这个期限都与您息息相关。
以下是事件经过、风险所在,以及您的选择。
漏洞时间线
2026 年 2 月,安全研究人员披露了 n8n 的一系列关键漏洞,情况迅速从令人担忧升级为灾难性:
- 2 月初:n8n 以 25 亿美元估值融资 1.8 亿美元,巩固其作为领先开源自动化平台的地位。
- 2 月中旬:CVE-2025-68613 被加入 CISA 已知被利用漏洞(KEV)目录 — 确认在野外被积极利用。
- 2 月下旬:研究人员发布「Ni8mare」(CVE-2026-21858),一个 CVSS 10.0 的未经身份验证远程代码执行漏洞,利用 webhook Content-Type 混淆。无需登录。
- 3 月初:又出现两个 RCE 向量(CVE-2026-27577、CVE-2026-27493),使关键 CVE 总数达到 6+ 个,共 4 条独立 RCE 路径。
- 3 月 4 日:CISA、新加坡 CSA 和加拿大 CCCS 均发布正式公告。
- 3 月 11 日:CISA 将 FCEB 修复期限设定为 3 月 25 日。
这不是理论风险。CISA 仅在确认存在积极利用时才将漏洞加入 KEV 目录。
四条独立的 RCE 向量
这种情况的严重性非同寻常。大多数漏洞披露只涉及单一问题。n8n 有四条独立的远程代码执行路径:
| CVE | CVSS | 类型 | 说明 |
|---|---|---|---|
| CVE-2025-68613 | — | RCE | 已被积极利用;加入 CISA KEV |
| CVE-2026-21858 (Ni8mare) | 10.0 | 未经身份验证 RCE | Webhook Content-Type 混淆 — 无需凭证 |
| CVE-2026-27577 | 9.4 | 身份验证后 RCE | 经过身份验证的远程代码执行 |
| CVE-2026-27493 | — | 零点击 RCE | 完全服务器接管,无需用户交互 |
每一个都足以独立危害 n8n 实例。合在一起,它们代表了安全边界的完全崩溃。
为什么只打补丁是不够的
如果您正在运行 n8n v1.x,仅应用补丁不是可行的修复路径。原因如下:
n8n v1.x 已到达生命周期终点。 n8n 团队已宣布 v1.x 将不再接收安全更新。组织必须迁移至 v2.0 — 这是主要版本升级,而非简单的补丁。这意味着架构变更、API 重大修改和工作流兼容性测试。
凭证泄露是全面性的。 其中几个漏洞允许攻击者提取 n8n 的加密密钥,这意味着每个存储的凭证 — API 密钥、OAuth 令牌、数据库密码 — 都必须假定已被泄露。打补丁无法取消已被窃取的凭证。您需要轮换 n8n 中存储的每个密钥。
攻击面是结构性的。 Censys 已识别出 24,700 个暴露在互联网上的 n8n 实例。其中许多是没有 WAF、网络分段或入侵检测的自托管部署。自托管自动化服务器搭配存储的凭证和代码执行能力的架构模式,使 n8n 成为高价值目标 — 这不会因版本升级而改变。
您应该怎么做
根据您的情况,有三条切实可行的路径:
1. 升级至 n8n v2.0
如果您坚持使用 n8n,请立即升级至 v2.0。这不是可选项 — v1.x 已 EOL,不会再接收补丁。升级后:
- 轮换 n8n 中存储的每个凭证(API 密钥、OAuth 令牌、数据库密码)。
- 审核 webhook 端点是否有未授权访问。
- 检查执行日志以寻找入侵迹象。
- 将 n8n 置于 WAF 之后并限制网络访问。
如果您的团队有能力进行主要版本迁移,且具备强大的基础设施安全实践,这是正确的路径。
2. 迁移至托管平台
n8n 漏洞集群突显了自托管自动化平台的结构性风险:您继承了每个依赖项、每个暴露端点和每个存储凭证的全部安全负担。托管 SaaS 平台将这一负担转移给供应商。
JieGou 就是为此而建的。我们提供:
- 零 CVE、零 npm audit 漏洞。 我们的依赖链是干净的,并持续监控。
- SOC 2 Type II 审计进行中,3 月 20 日与 Advantage Partners 启动。渗透测试已完成。
- 无需补丁的自托管基础设施。 作为托管平台,安全更新由我们透明地应用。
- n8n 迁移工具,提供 45+ 节点类型映射,将 n8n 工作流转换为 JieGou 配方和工作流。
- 10 层治理堆栈,涵盖审批网关、审计日志、RBAC、数据分类和合规控制。
对于需要本地部署的组织,我们还提供自托管入门套件(Docker Compose + Ollama + Redis),让基础设施在您的控制下,同时遵循强化的参考架构。
3. 评估替代方案
如果您正在重新考虑自动化技术栈,现在是合理的时机。目前最重要的标准:
- 托管 vs. 自托管:谁负责打补丁?
- 凭证隔离:密钥如何存储和加密?
- 审计追踪:您能证明发生了什么以及何时发生的吗?
- 合规准备:SOC 2、GDPR、行业特定要求。
公平看待 n8n
n8n 构建了一个真正实用的产品。可视化工作流构建器、节点生态系统和开源社区都是真正的优势。n8n 团队一直在修复问题,并对 v2.0 的升级路径保持透明。
但漏洞的透明度不会降低运行未打补丁软件的风险。CISA KEV 列表意味着这不是假设性的 — 这些漏洞正在被利用,针对真实目标。
结论
3 月 25 日就是明天。如果您正在运行 n8n:
- 检查您的版本。 如果您使用 v1.x,您正在使用具有已知、被积极利用的 RCE 漏洞的不受支持软件。
- 立即轮换凭证,无论您选择打补丁还是迁移。
- 做出决定:升级至 v2.0、迁移至托管平台,或以书面形式接受风险。
如果您想探索迁移选项,联系我们的团队 或查看 n8n 迁移指南,了解您的工作流如何映射到 JieGou。
JieGou 是一个部门优先的 AI 工作流自动化平台,拥有 12 个消息频道、10 层治理和企业合规。在 jiegou.ai 了解更多。