各学院(部)、各单位、全体师生:
近期,各类 AI 自主执行类工具在校园内使用热度持续升高,部分平台支持快速部署、一键运行。经学校网络安全技术研判,此类工具普遍存在默认安全防护薄弱、权限设计宽松、外部依赖复杂等问题,存在较高数据泄露与系统受控风险。为切实维护学校网络安全、保护师生个人信息与重要数据安全,严防网络安全事件发生,现就相关风险提示及管理要求通知如下:
一、主要安全风险提示
权限过度开放风险。此类工具为实现自动执行任务,通常获取较高系统权限,一旦被恶意利用或劫持,极易导致设备被完全控制,造成文件窃取、系统破坏等严重后果。
指令劫持与恶意调用风险。攻击者可通过构造恶意提示词,诱导工具执行危险操作,导致账号密码、隐私文件、配置密钥等敏感信息被非法获取。
误操作与数据损毁风险。工具在自主执行过程中可能出现逻辑误判,造成重要文件误删、系统配置篡改、数据不可逆丢失等问题。
第三方插件与供应链风险。部分工具依赖社区插件、开源模型与外部接口,易被植入恶意代码,存在后门植入、挖矿、信息窃密等安全隐患。
二、严格安装与使用管理要求
原则上不建议普通师生随意下载、安装和测试此类高风险 AI 自主工具。确因科研、教学等工作需要使用的,必须严格遵守以下要求:
严禁在办公及个人主力设备运行。不得在办公电脑、教学终端、校内服务器及存储敏感数据的设备上部署、测试。
仅限独立隔离环境使用。确需开展实验的,应在专用测试机、虚拟机或独立云环境中运行,严禁接入校园内网、教务系统及科研数据环境。
严格限制数据访问范围。使用过程中不得加载校内敏感数据、不得登录校内统一身份账号、不得存储证件信息、账号密码等隐私内容。
三、强化安全防护与责任落实
加强环境与网络管控。部署前关闭不必要端口与公网访问权限,严格限制访问来源,做好网络边界隔离,避免暴露在公共网络中。
规范账号与权限管理。启用强口令认证,最小化分配操作权限,不使用默认配置,不在脚本或配置文件中明文保存密钥与凭证。
严控来源与版本更新。仅从官方可信渠道获取程序,谨慎安装第三方插件,及时关注安全公告,更新补丁修复已知漏洞,杜绝使用破解版、修改版工具。
各单位要切实履行网络安全主体责任,加强宣传提醒,引导师生安全、规范、理性使用智能工具,共同维护校园网络安全环境。
