问题——新兴自动化工具“进校”带来高风险变量 记者梳理发现,随着一批具备“自动执行电脑操作、代办办公任务”能力的开源工具快速传播,部分师生出于尝鲜、提升效率等目的尝试部署使用。
但高校办公终端集中承载教学科研数据、学生信息和行政办公资料,一旦引入需要高权限运行、可持续调用系统与外部资源的软件,安全边界将被显著拉宽。
多所高校近期密集发声,正是对这一新变量的及时应对。
原因——高权限、弱审计与不当部署叠加放大隐患 珠海科技学院信息数据管理处3月10日发出通知明确:即日起,严禁教职工在任何办公设备、教学终端及校园网络环境下(含通过VPN远程连接的终端)安装、运行、使用OpenClaw软件本体、衍生版本、配套插件及第三方技能脚本;已安装的须立即彻底卸载,并清除全部配置、缓存及日志文件。
该校将对校园网络与终端开展不定期安全扫描核查,发现违规将依规处理,并强调各部门负责人要落实网络安全主体责任,组织自查自纠。
通知同时提出,对因违规使用引发安全事件、造成数据泄露或系统损坏的,将依法依规追责。
相关风险提示亦在多校预警中被进一步具体化。
安徽师范大学网络安全与信息化办公室3月10日发布的预警指出,此类工具通常需要获取较高系统权限,若敏感信息以明文方式存储在本地或配置不当,一旦遭遇入侵,聊天记录、账号口令、邮件内容、文件数据等可能被快速窃取;同时工具具备一定程度的自主执行能力,可能出现对模糊指令理解偏差、操作失准等情况,带来误删文件、误操作业务系统等风险。
此外,若权限控制、调用审计机制不足,工具在持续运行、自主决策与外部资源访问过程中,可能被恶意诱导或接管,进而造成越权操作甚至远程控制。
工业和信息化部网络安全威胁和漏洞信息共享平台监测信息也显示,OpenClaw在默认配置或不当配置条件下存在较高安全风险,易引发网络攻击、数据泄露、系统受控等事件。
影响——从个人终端外溢到校园网络,后果呈链式放大 从管理视角看,高校网络环境具有“终端数量多、人员流动大、业务系统密集、数据类型敏感”的特点,一台终端的高权限软件若被利用,可能成为攻击链条的入口:轻则造成个人隐私泄露、办公账号被盗用;重则导致科研数据外泄、教学管理系统异常、重要信息被篡改或加密勒索,甚至引发跨系统的连锁故障。
对高校而言,这不仅是技术层面的防护问题,也直接关联合规要求与治理能力:一旦发生事件,取证、处置、恢复成本高,影响教学科研秩序与社会信任。
对策——“禁用+核查+责任到岗”,把风险挡在校园边界之外 目前多所高校采取的共同路径是关口前移、强化过程管控。
珠海科技学院提出“立即彻底卸载”“清除配置、缓存及日志文件”,并以不定期安全扫描核查形成威慑;同时将责任压实到部门负责人,要求自查自纠、确保覆盖无死角。
安徽师范大学则强调理性评估自身需求,明确提出避免在接入校园网的设备、办公电脑以及存有敏感信息和工作数据的设备上使用;并要求校内各单位、教职工严禁在处理教学科研数据、行政办公信息、学生信息等场景中使用相关工具,守住校园数据安全底线。
江苏师范大学信息化建设与公共资源管理处也在3月11日发出防范提醒,提示师生关注并规避安全风险。
业内人士认为,除发布禁令与预警外,高校还可同步完善三方面机制:其一,建立软件准入与白名单制度,对高权限工具实施统一评估、统一部署、统一更新;其二,加强终端安全基线与权限管理,减少“随意授予高权限”的空间;其三,针对“代装服务”“来历不明插件脚本”等现象开展宣传与治理,降低因非正规渠道安装带来的供应链风险。
前景——在鼓励创新与守牢底线之间形成可持续治理 新工具快速迭代是技术发展的常态,但校园数据安全不能以“先用再说”的方式试错。
多所高校近期的集中举措,释放出明确信号:对任何可能突破权限边界、缺乏可审计控制的工具,校园场景必须坚持审慎原则、先评估后使用。
可以预见,随着相关产品持续更新与使用需求增长,高校将进一步把软件治理从“事后处置”转向“制度化预防”,通过分级分类管理、风险评估与持续监测,实现效率提升与安全合规的动态平衡。
OpenClaw事件的发生提醒我们,新兴技术的出现往往伴随着新的安全挑战。
高校作为教育机构,肩负着保护师生信息安全、维护校园数据完整的重要责任。
这不仅是技术问题,更是管理问题和意识问题。
通过这次事件,高校建立了更加完善的新技术评估和应用机制,有助于在未来的技术应用中更加谨慎和理性。
同时,这也启示全社会要对新兴AI工具保持警惕,在享受技术便利的同时,不能忽视其潜在的安全风险。
只有技术开发者、使用机构和个人用户共同提升安全意识,才能在数字时代更好地保护自己的信息安全。