一、凌晨五点,整个教育系统熄灯了
2026 年 5 月 7 日下午 5:17(美东时间),美国一所大学的教务处发出了一封简短的邮件:Canvas 下线了,原因不明。
随后是 6:24、6:57 的两封跟进邮件——内容从"全国性宕机"升级为"网络安全攻击",但仍然没有细节。教授们被指示让学生用电子邮件重新提交作业。这个细节本身就很说明问题:学校管理层对系统能多快恢复没有任何信心。
而这恰好是期末考试周。
当 Canvas 终于恢复的时候,学生们在登录页面看到了一条来自黑客组织 ShinyHunters 的留言:
"ShinyHunters has breached Instructure (again). Instead of contacting us to resolve it they ignored us and did some 'security patches.' If any of the schools in the affected list are interested in preventing the release of their data, please consult with a cyber advisory firm and contact us privately at TOX to negotiate a settlement. You have till the end of the day by 12 May 2026 before everything is leaked."
——ShinyHunters,勒索留言
这条消息附带了一份受影响学校名单。据 BleepingComputer 报道,9,000 所学校、2.75 亿学生、教师和工作人员的数据面临被公开的风险。
这条新闻在 Hacker News 上获得了 870 分、573 条评论,是今天热度第三的话题。但它的重要性远超一个普通的"又一家公司被黑了"的故事。
二、Free-for-Teacher:免费是最贵的攻击面
Instructure(Canvas 的母公司)在事件说明中确认了攻击入口:
"We have confirmed that the unauthorized actor exploited an issue related to our Free-For-Teacher accounts. As a result, we have made the difficult decision to temporarily shut down our Free-For-Teacher accounts."
——Steve Proud, Instructure CISO
"Free-for-Teacher"是 Canvas 的一项免费计划,允许教师无需学校统一采购即可开设课程。这是一个增长策略——教师用起来,学校就会被锁定。但它也是一个巨大的安全漏洞:
攻击面逻辑:免费账户的安全标准通常低于付费企业账户 → 攻击者找到最薄弱的免费实例 → 横向移动到主系统 → 获取 9,000 所学校的数据。
这是经典的"免费功能=共享攻击面"问题。每一个免费账户都是通往核心基础设施的一扇门。
Instructure 的应对措施是"暂时关闭 Free-for-Teacher 账户"——但没有给出恢复时间表。这意味着数千名依赖该计划的教师和学生被直接切断了访问权限,而官方没有给出替代方案。
更讽刺的是,这已经不是 ShinyHunters 第一次和 Instructure 交手了。留言中那句 "(again)" 不是修辞,而是陈述事实。
三、当一栋教学楼着火了
HN 上一位 CS 教授的评论(获得超过 500 个赞)揭示了这场事故的深层问题:
"我很多同事的情况是灾难性的,程度相当于'整栋教学楼连同所有的试卷和成绩册一起烧了'——即使是那些 100% 线下授课的老师,也已经把几乎所有评估转移到了 Canvas 中(用 Canvas 的'测验'功能处理从平时测验到期末考试的 Everything),并把 Canvas 成绩册作为唯一的真实记录。"
这位教授继续描述了最坏情况:
"对于那些把一切都放在 Canvas 里的老师来说,他们没有保留任何学生产出的作品,学生自己也没有可以重新提交的副本(因为作业本身就是在线完成的),他们甚至连学生成绩和出勤记录都没有。"
这段话值得每个教育科技从业者和决策者反复读三遍。它描述的不是一个技术问题,而是一个制度性依赖问题。
教授们被行政鼓励把一切都搬到 Canvas——"这样提交成绩更方便"。但"方便"的代价是:当 Canvas 宕机时,你没有任何备份,没有任何本地副本,没有任何降级方案。
那位教授提到,他的学校在疫情期间、以及在两栋主要学术楼在期末考试前一周被烧毁时,采用过一个极端方案:让所有课程以"通过/不通过"方式提交成绩。
这大概就是教育系统在面对单点故障时的终极降级方案——放弃评估,直接放过。
四、ShinyHunters 的攻击履历
你可能没听过 ShinyHunters,但你一定听过他们攻击过的公司:
| 目标 | 时间 | 影响 |
|---|---|---|
| Ticketmaster | 2024 年 5 月 | Snowflake 云存储数据泄露 |
| AT&T | 2024 年 7 月 | 支付 37 万美元赎金,客户数据被删除 |
| Rockstar Games | 近期 | 声称入侵(R* 称无影响) |
| ADT | 近期 | 客户数据被窃取 |
| Vercel | 2026 年 4 月 | OAuth 供应链攻击 |
| Instructure/Canvas | 2026 年 5 月 | 9,000 所学校,2.75 亿人 |
这是一个专业的、持续活跃的勒索组织。他们对 Instructure 说 "(again)",意味着他们之前已经成功入侵过,而 Instructure 的"安全补丁"并没有真正修复问题。
ShinyHunters 设定的截止日期是 2026 年 5 月 12 日。这意味着在接下来的四天里,9,000 所学校的 IT 部门需要在"支付赎金"和"等待数据泄露"之间做出选择。
五、教育的"全在云里"问题
这次事件暴露了教育科技行业的一个根本性矛盾:
学校被鼓励全面数字化 → 选择少数几个 SaaS 供应商 → 所有关键数据集中在一个平台 → 平台被攻击 → 没有降级方案。
这不是 Canvas 一家的问题。Blackboard、Moodle、Google Classroom——整个行业都在走同样的路线。但 Canvas 尤其危险,因为:
- 市占率高:美国超过 7,000 所高等教育机构使用 Canvas
- 功能覆盖全:作业、考试、成绩、出勤、消息——所有关键教学功能
- 替代成本高:学期中途迁移 LMS 几乎不可能
- 免费入口降低了安全门槛:Free-for-Teacher 让攻击面指数级扩大
HN 评论区有一个关于 FERPA(美国《家庭教育权利和隐私法案》)的讨论很有趣。有人指出,学校以 FERPA 为由拒绝通过邮件发送成绩——但 Canvas 和邮件通常使用同一套 SSO 登录,安全风险并没有本质区别。评论区有人一针见血地说:
"恭喜你们找到了绕过一个有用功能的借口。在大学工作时,我们有一个'工具箱'式的拒绝理由列表:HIPAA、FERPA、ERISA、PCI、GLBA、Title IX、ADA。你不能做这个是因为 HIPAA,不能做那个是因为 FERPA——这太棒了,你有无限的借口说不。"
当安全合规成为拒绝做简单备份方案的借口,而系统本身却因为一个免费账户被攻破时,这种讽刺几乎令人窒息。
六、五个判断
| 判断 | 确定性 | 时间线 |
|---|---|---|
| 教育机构将强制要求本地/离线数据备份 | 高 | 6-12 个月 |
| Canvas Free-for-Teacher 计划永久关闭或重构 | 高 | 1-3 个月 |
| LMS 供应商的"免费增值"模式面临安全审查 | 中高 | 3-6 个月 |
| 开源 LMS(如 Moodle)迎来新一轮关注 | 中 | 12-18 个月 |
| "混合评估"(线上+纸质)成为期末考标准配置 | 中高 | 6-12 个月 |
七、尾声:鸡蛋与篮子
那位 CS 教授在评论的结尾写道:
"Well, one thing you can do is not put your eggs all in one basket, and not trust 'the cloud' quite so much, but that ship's already sailed."
"嗯,你可以不把鸡蛋放在一个篮子里,也不要太信任'云'。但这艘船已经起航了。"
这句话大概是整个事件最精准的总结。
教育系统已经把 9,000 所学校的鸡蛋放进了 Instructure 这一个篮子。然后这个篮子被 ShinyHunters 拎走了。
现在距离 5 月 12 日的截止日期还有四天。9,000 所学校在等。2.75 亿人在等。Instructure 的"最终更新"说"我们将通过其他渠道继续提供更新"——翻译一下:别在状态页面等了。
这大概就是 2026 年教育科技最真实的写照:一切都很方便,直到它不方便的那天。