2026 年 2 月,n8n 披露了 8 个 CVE — 包括一个表达式评估中的 CVSS 10.0 RCE。Censys 扫描发现 26,512 个暴露在网际网路上的 n8n 实例,许多运行着易受攻击的版本。
这不是 n8n 特有的问题。这是自架自动化平台的根本挑战:安全负担完全落在营运者身上。
我们以不同方式建构了 JieGou。以下是原因。
自架安全陷阱
自架平台承诺控制权。你拥有资料、基础设施、设定。他们没有宣传的是,你同时也承担了:
- 修补节奏 — n8n 的 CVSS 10.0 RCE 需要立即升级到 v2.5.2+。那 26,512 个实例中有多少在 24 小时内完成修补?
- 网路暴露 — Censys 发现数千个实例的工作流程编辑器可直接从网际网路存取。一个拥有编辑器存取权限的认证用户即可触发 RCE。
- 凭证管理 — 自架 n8n 将工作流程凭证储存在本地。没有集中加密、没有金钥轮换、没有稽核轨迹。
- 合规证据 — SOC 2 稽核员会问:「展示你的修补历史。」自架营运者必须手动维护这些。
自架不必等同于自我暴露。但实际上通常如此。
JieGou 的混合模式:控制而不妥协
JieGou 提供三种部署模式:
1. 完全托管(预设)
一切在 JieGou 云端运行。零基础设施维护。修补、监控、加密、RBAC — 全部自动处理。
2. 混合 VPC 部署(企业版)
控制平面留在 JieGou 云端 — 控制台、排程、监控、稽核日志。执行平面在你的 VPC 中运行 — 工作流程步骤在你的网路内执行,你的资料永不离开你的基础设施。
这为你提供:
- 资料驻留 — 敏感资料留在你的环境中
- 合规 — 符合 HIPAA、SOX、GDPR、FedRAMP 要求
- 无修补负担 — JieGou 管理控制平面;VPC 代理自动更新
3. 气隙部署(企业版+)
针对最严格监管的环境:在你的防火墙后进行完整的 Docker Compose 部署。不需要网际网路连线。
安全比较:JieGou vs. n8n
| 面向 | JieGou | n8n |
|---|---|---|
| 已知 CVE(2025-2026) | 0 | 8+ 个严重 |
| 暴露实例 | 不适用(云端 + VPC) | 26,512(Censys) |
| 最低安全版本 | 始终最新 | 需要 v2.5.2+ |
| RCE 攻击面 | 不适用 | 工作流程编辑器存取 |
| SOC 2 | 证据就绪 | 不提供 |
| 静态加密 | AES-256-GCM | 不包含(社群版) |
| RBAC | 5 个角色、20 项权限 | 基本(管理员/编辑者) |
| 稽核日志 | 30 种操作类型 | 不包含(社群版) |
从 n8n 迁移到 JieGou
我们建构了自动化 n8n 工作流程汇入工具来转换你现有的工作流程:
- 汇出你的 n8n 工作流程为 JSON
- 上传到 JieGou 的汇入精灵
- 预览转换结果 — 查看哪些节点完全对应,哪些需要调整
- 建立 JieGou 工作流程,一键完成
- 设定 MCP 伺服器连接你的整合(Slack、Gmail、GitHub 等)
- 测试用效能比拼比较输出品质
汇入工具将 n8n 节点类型对应到 JieGou 步骤类型:
- n8n
Set/Code→ JieGou LLM 步骤(带转换提示) - n8n
IF→ JieGou 条件步骤 - n8n
SplitInBatches→ JieGou 回圈步骤 - n8n
Merge→ JieGou 聚合器步骤 - n8n 整合节点 → JieGou MCP 伺服器对应项
没有其他自动化平台提供自动化 n8n 迁移。
大多数团队忽略的成本计算
n8n 的显性成本是 $0(自架)或按执行计费(云端)。隐性成本:
- 安全工程师时间:每个 CVE 修补 2-4 小时 × 8 个 CVE = 仅 2026 年 2 月就 16-32 小时
- 事件回应:如果那 26,512 个暴露实例中有一个被入侵
- 合规开销:手动收集 SOC 2 证据、渗透测试
- 监控基础设施:设定 n8n 版本漂移和暴露的警报
JieGou Pro 每月每席位 $49。包含托管主机、自动修补、SOC 2 证据汇出、RBAC、稽核日志,以及迁移现有工作流程的汇入工具。
今天就开始迁移
你的工作流程值得拥有能自我修补的基础设施。