近期,一款开源AI智能体工具高校和科研机构中引发关注,但其安全隐患也不容忽视;工信部等部门已发出提示,该工具在默认或不当配置下可能成为网络攻击和信息泄露的通道。自3月中旬以来,全国多所高校陆续发布安全预警,对使用进行了规范和限制。 问题的严重性在于其隐蔽性和危害的广泛性。珠海科技学院在3月10日发出通知,要求立即卸载对应的程序,清除配置、缓存及日志文件,并表示将对校园网络定期进行安全扫描。华南师范大学、广东医科大学、安徽师范大学等校也指出了具体风险:毕业论文、实验数据、科研成果可能被窃取篡改,个人账号密码和校园系统面临泄露,教学数据、行政信息、学生信息等敏感内容处于危险中。 从技术层面看,安全风险主要来自三个上。首先是默认配置不当导致的公网暴露,多校强调不应将工具链接分享或设置为外网可访问。其次是权限管理不规范,天津大学明确指出不应赋予root或管理员权限,修改默认端口并配置防火墙白名单至关重要。再次是敏感信息的直接输入,华南师范大学特别提醒不应向工具提供办公账号密码、服务器权限等信息。 各高校采取了分层次的防范措施。珠海科技学院实行禁用政策,对违规使用者依规处理。华南师范大学禁止在生产环境使用,但允许在特定条件下学习测试。西北工业大学、天津大学等校则采用条件使用方案,要求排查公网暴露、完善身份认证、实施访问控制、加强数据加密和安全审计。江苏师范大学建议优先使用云端服务器、虚拟机、容器等隔离技术。安徽师范大学提出"非必要不部署"的原则。华中师范大学强调对既有部署的核查,重点排查公网暴露、权限配置及凭证管理。 这场高校安全防范行动反映了教育机构对新兴技术应用风险的认识。随着开源工具在科研和教学中的广泛应用,安全配置和规范使用的重要性日益凸显。各校虽然措施力度不同,但目标一致:既要支持师生探索新技术,也要守住校园数据安全的底线。这种平衡需要技术部门的专业指导、管理部门的严格督查,更需要师生安全意识的提升。
技术发展越快,安全底线越要守牢;高校既要为教学科研创新留足空间,也要把数据安全、系统稳定与师生权益放在同等重要位置。通过更严格的边界管理、更可执行的配置规范、更常态化的风险排查,把新工具纳入制度化治理轨道,才能在开放与安全之间取得稳健的平衡。