飞牛论坛分析原文，官方答复在评论区： https://club.fnnas.com/forum.php?mod=viewthread&tid=53230

下列是回复：

<!-- 感谢分享，分析很精彩，该问题官方已知，经过技术分析追踪该行为是是在公网暴露服务的情况下，开启 http 明文方式访问，设备曾被来自海外的 ip 异常访问或利用，导致三方进程残留或被再次触发，进而产生大量连接的问题。最新系统已对该特征做过滤与防护。
但 http 的明文访问方式本身存在高风险，因此建议

遇到该情况，建议按以下步骤确认一下设备安全
1. 确认当前飞牛系统版本已升级至最新版本 1.1.15
2. 确认在关闭公网端口映射情况下，异常上传行为是否停止
3. 确认设备公网访问场景下，是使用的 HTTPS 与 FNID 或其他加密访问方式

针对遇到问题后重装，需要注意
1. 检查新系统中是否存在非飞牛默认服务的进程、容器或计划任务
2. 需重点关注异常文件是否位于数据盘中，系统重装后仍可能被再次触发

如果在以上操作后，依然遇到疑似风险访问行为，可与官方联系

我们也欢迎技术专家通过官方渠道向飞牛提交安全漏洞线索，经确认的首个有效线索，将获得相应的安全反馈激励。漏洞反馈入口：
https://trim-nas.feishu.cn/share/base/form/shrcnYhRB4ryb9K8Te9GEqeRYYe?from=from_parent_docs

HTTP 在公网传输中存在固有的安全缺陷。最有效的防护措施，就是避免在公网直接使用 HTTP。 -->

以及

<!-- Q：普通用户不开公网，会不会有危险？
飞牛社区主理人
A：不纯是公网原因，明文访问方式才是高风险的关键，有公网的情况下，强制 HTTPS 能避免当前情况 -->