从“改成绩”到“改系统”——全球教育平台漏洞的黑色产业链

这起事件只是冰山一角。从中国的正方、强智教务系统，到全球的Canvas、Blackboard、Moodle，教育技术平台的安全漏洞正在催生一条庞大的黑色产业链。

在中国，正方教务管理系统覆盖全国超过1000所高校，其SQL注入漏洞和默认密码问题早已在技术社区中公开。强智科技教务管理系统的登录框POST注入漏洞同样被广泛披露。这些公开的漏洞信息，在技术论坛和暗网上被明码标价地交易——一份详细的漏洞利用教程可能只卖几百元，但一次成功的成绩修改服务可能报价数千甚至上万元。

在全球范围内，Canvas平台的3.65TB数据泄露事件波及2.75亿用户。PowerSchool在2024年底遭到入侵，6200万名学生和900万名教师的数据被泄露。Blackboard Academic Suite的CSRF漏洞允许攻击者劫持用户身份变更课程配置。Moodle的RCE漏洞允许攻击者在服务器上执行任意代码。PeopleSoft的访问控制缺陷允许低权限账户实现未授权数据修改。SITS:Vision的认证绕过漏洞允许攻击者获取数据库凭证。Banner的IDOR漏洞允许攻击者通过修改一个参数访问其他学生的数据。

这条黑色产业链的运作模式已经相当成熟：上游有漏洞挖掘者和工具开发者，中游有提供“改成绩”服务的中间商，下游是有需求的学生客户。2025年西班牙马德里理工大学的案件中，一名21岁的学生在两年内篡改了超过500次成绩记录。这名学生不仅为自己改成绩，还以收费方式为其他学生提供服务。这种“商业化运作”模式在暗网上已经形成了一套完整的服务体系——从“单科改分”到“全学期提升”，不同的服务有不同的报价和保障承诺。

更值得警惕的是，许多攻击者已经开始利用AI工具来辅助攻击。AI可以帮助分析系统架构、生成攻击代码、甚至自动寻找新的漏洞。香港网络安全事故协调中心已经启用了AI工具来主动扫描和移除针对教育平台的可疑网站。但防御永远滞后于攻击——当AI被用于防御时，攻击者也在用AI来突破防御。

对于学生来说，选择“改成绩”意味着将自己的学业前途和法律责任押在一个陌生人身上。一旦攻击被发现，不仅修改的成绩会被作废，还可能面临开除、记入诚信档案、甚至刑事指控。而对于教育机构来说，不断暴露的安全漏洞意味着它们需要重新审视自己的技术架构和安全策略。强认证、定期权限审查和安全审计，已经不再是可选项，而是必选项。

当全球教育系统的基础安全都无法保障时，“学术诚信”四个字，就变成了一纸空谈。