问题——校内信息系统因引入“工具化软件”出现新的安全隐患。 从多所院校发布的通知来看,“龙虾”(OpenClaw)及其配套组件被纳入校内高风险软件管控清单,禁用范围覆盖办公电脑、教学终端、服务器、移动终端、共享存储,以及校园网、有线无线网络、VPN远程连接、财务专网等关键场景。部分院校明确要求“已安装必须彻底卸载”,并清除配置、缓存、日志等残留信息,反映出对数据外泄、权限滥用和系统被控制等风险的高度关注。 原因——工具扩散速度快——而安全审查跟进不足——促使校园端加强入口管理。 近年来,不少新兴软件以“提升效率”“自动化辅助”等名义迅速传播,安装门槛低、更新频繁,插件与脚本生态复杂,容易缺乏统一评估的情况下进入办公和教学环境。一些工具在权限申请、网络通信、接口调用、日志留存诸上存在不确定性,一旦与校内账号体系、文件共享、教务或财务系统连接,风险可能从单机延伸到内网,进而影响敏感数据安全与业务连续性。基于此现实,多所院校明确提出“未经批准不得引入高风险软件”,并提醒避免跟风安装未经过安全审查的软件,本质是把安全关口前移到“安装部署”阶段。 影响——个人终端隐患可能演变为机构性风险,带来数据泄露和系统性事故。 高校信息化资产集中、业务链条长,涉及师生个人信息、科研与教学资料,也涵盖财务数据、管理系统和网络基础设施。一旦高风险软件在校园网内被广泛安装,可能产生三类连锁影响:其一,在数据层面,校内文档、账户凭据、接口密钥等如被异常读取或外传,可能造成隐私与重要数据泄露;其二,在系统层面,终端被植入不明脚本或插件可能引发木马传播与横向移动,导致系统受损、业务中断;其三,在治理层面,违规安装难以及时发现与追溯,处置成本上升,也会影响整体安全态势。因此,多校在通知中明确违规后果,提出通报、问责,并强调如引发网络安全事件将依法依规追责。 对策——通过“禁用+排查+监测+审批”形成闭环管理,压实网络安全责任。 从通知内容看,多校治理思路较为一致:一是迅速明确禁用范围,将软件本体、衍生版本、插件和第三方脚本一并纳入,减少“换壳”“分发包”等规避空间;二是组织自查自纠,要求部门负责人落实网络安全责任,确保通知传达到位、执行到位;三是加强技术监测,借助统一杀毒平台、不定期安全扫描与核查提升发现能力,并对有关程序与接口采取技术处置;四是完善例外机制,对确需用于技术测试、场景验证等情况,设置书面申请、安全评估和审批流程,在保障科研教学合理需求的同时守住安全底线。同时,个别院校还明确禁止使用非工作场所的个人设备通过校园网与相关程序交互通信,体现出对“边界外引入、边界内扩散”路径的针对性防范。 前景——校园网络安全治理将更突出制度化、清单化和分级分类管理。 从趋势看,高校对软件引入的管理正在从“事后处置”转向“事前审查、事中监测、事后追责”的全周期机制。下一步,预计更多院校将建立统一的软件资产台账和白名单制度,完善终端安全基线与权限管理,推动关键业务系统与办公教学网络分区分域、分级防护,并通过常态化培训提升教职工网络安全意识,减少因图省事、追热点带来的漏洞。同时,随着信息化应用场景持续扩展,高校在推进数字化教学、科研计算与智慧校园建设的过程中,也将更重视安全评估与合规审查同步推进,争取在发展与安全之间保持平衡。
这场在多所高校展开的网络安全行动,既是对潜在风险的快速处置,也为数字化校园的管理能力提供了一次检验。在技术创新与安全防护之间,如何建立既开放又可控的校园网络生态,仍有赖于更前置的审查、更持续的监测和更清晰的责任机制。风险被堵住并不意味着结束,真正的考验往往在常态化治理中。