近期,教育行业启动了一轮针对开源工具的安全处置行动。据工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)通报,代号“OpenClaw”的开源程序存设计缺陷:其默认开放的管理端口可能被黑客利用为入侵入口,平台已监测到基于该漏洞开展的网络钓鱼和数据窃取活动。技术分析显示——在自动化办公场景中——一旦部署和权限配置不规范,可能引发核心业务系统越权访问、敏感信息泄露等连带风险。 在NVDB发布三级安全预警后,多所高校率先启动应急处置。北京大学、西北工业大学等12所院校于3月中旬陆续发布禁用要求,明确校内办公设备及服务器需全面卸载有关程序。珠海科技学院等机构将管控范围深入延伸至VPN远程终端;北京建筑大学则提出“容器隔离+权限降级”的双重防护方案。,江苏师范大学等院校并未一刀切禁用,但要求必须通过虚拟机部署,且关键操作需进行人工复核。 此次集中管控也反映出新技术落地中的共性问题。专家指出,开源工具有助于提升效率,但其安全审计与风险评估往往跟不上功能迭代。山东大学提出的“数据不出域”原则,以及安徽师范大学对本地化模型连接的要求,体现出高校对数据主权与合规边界的进一步收紧。中国网络安全审查技术中心数据显示,2023年教育行业遭受的网络攻击中,约34%与第三方工具漏洞有关。 从趋势看,此次事件可能加快三上变化:一是推动《教育系统网络安全管理办法》相关实施细则更快落地;二是促进校企共建开源软件安全评估机制;三是倒逼开发者社区完善漏洞响应与修复流程。目前,部分头部高校已开始建立自动化办公工具准入白名单,清华大学网络研究院也在联合企业推进国产化替代方案研发。
新技术推广与安全防护完善往往需要在实践中不断校准;高校此轮集中管控,既是对现实风险的及时处置,也检验了信息安全治理能力。从禁用到规范,再到可控使用,各校分层次、差异化的措施表明,安全与创新并非对立,而是在充分识别风险基础上的权衡与选择。随着更多高校和机构加入,涉及的安全标准与最佳实践有望逐步成形,为AI工具的健康发展提供更稳固的安全环境。