超前部署：對教育來說，Zoom 真正隱憂是 Zoombombing

這一兩天教育部突然宣布全面禁用 Zoom 政策意外掀起不小風波，有教育者反彈很大，說出「教學哪來資安問題」；此外幫你優 BoniO 執行長葉丙成也公開為老師們過去的努力感到惋惜，因為老師們願意接觸新的教學工具已不容易；他事後也再度指出該怎麼評估 Zoom 的詳細建議。關於此事，INSIDE 主編李柏鋒也有很詳細的見解。

現在很流行「超前部署」，筆者也因超前部署，在教育部爭議爆發前就寫了我認為從長期來看，比加不加密、資料傳不傳中國更嚴重的制度漏洞：Zoombombing。

Zoombombing 指得是有心人士嘗試登入未設密碼的會議、又或是利用之前漏洞找尋 ID 趁機偷進入 Zoom 會議一旁偷聽，或輕者單純惡作劇，嚴重的甚至用色情視訊、仇恨言論干擾會議的行為。在美國現在已經有不少師生深受 Zoombombing 困擾，每天都得提心弔膽深怕下一秒被哪來的網路巨魔露鳥或幹剿髒話。

上面是另一個 Zoombombing 的案例影片。對，對此 Zoom 已經緊急修改登入方式，強制全部會議都要設密碼，而且訪客必須輸入密碼並獲得會議主持人確認，double check 過才能加入視訊會議。

但可怕的就在外敵易守，內鬼難防。美國已經有雖鬆散但有組織性、人數眾多的 Zoombombing 社群出現了：他們會主動出擊打破密碼限制，有組織性的在 Discord、Reddit，Twitter 和 4Chan 公開徵求「想被駭」的學生分享他們的 Zoom 地址與密碼，來讓惡作劇者可以隨時破壞上課或會議。

不要以為台灣沒有。經筆者查證，已有某國立大學的純英文線上課程（而且有學分）真的被外國人突然亂入，並且被不斷插話干擾。

而且 Zoombombing 不是只出現在 Zoom 上，據了解 Zoombombing 社群已經正在討論怎麼對 Google Meet、Facebook Live 等其他視訊軟體攻擊。Zoombombing 真正可怕的地方在於它讓一對多的線上教學廣泛地變得「不安全」了。我相信對認真上課的老師與學生來說，不用多，只要一、兩個禮拜被破壞一次的頻率，就足夠讓人無法安心上課，整天提心吊膽什麼時候被搗亂的同學破壞。對於線上搗亂的學生怎麼處理也是大問題，直接關掉他的視訊會影響他的受教權，但又很難徹底全面防止他上課。

在此，稍稍讓筆者小題大作一下，要讓人「安心上課」，事實上並不是什麼簡單的事。做為國家政策與義務的一部分，現代教育體系整體而言從 1717 年普魯士開始實施至今 300 年，發現學校必須花很多所謂的「社會成本」來讓保障絕大多數學生有秩序地上課。軟體、師資先不說，硬體上首先政府就得花費預算找出一塊位置適中的土地，並且投入數千萬甚至是億元蓋出一間一間教室、體育館、操場跟圍牆，這種既安全又好掌握的「教育專用」空間，確保教師能在這個空間內能用一對多、上對下方式讓授課效益能最大化。

▲校園必須花很多所謂的「社會成本」來讓保障絕大多數學生安心上課。

為什麼要提到學校是「教育專用」的空間呢？我想大家都可以理解，一個外人要隨便干擾學校上課，實際上要負擔成本跟風險相對來說高的，特別是中小學，他可能要花一點心思拿到學生還是員工許可證，經過大門警衛或是翻牆才能入侵學校，走過層層攝影機才能順利走到教室。正常狀況下，一個路人甲很難願意冒被監視器拍下、扭送警局這麼大的風險，只單純為了跑到教室惡作劇。

Zoombombing 公然放 A 片就跟一個人真的故意跑去教室露生殖器一樣可惡，但保護師生的防禦措施，卻從圍牆、監視器跟警衛，變成了帳號跟密碼，而且顯然 Zoom 或是一對多課程線上大量出現，也讓「打擾他人上課」這件事變得很簡單、而且風險低很多。

教育體系算是一個特例，但這種風險或多或少都存在社會可能全面性線上化的每個層面，例如未來很可能馬上就要面臨的遠端醫療，在健保給付上「如何證明醫病雙方確實有進行醫療行為，才能申請健保給付？」可能就必須要求全程錄影，以解決醫療費用給付，以及證明有進行告知後同意的過程。（陳鋕雄，刊於關鍵評論網）

好，那教育體系該怎麼解決 Zoombombing？既然問題出在社會成本與風險，那解法可能也是。從短期來看，對照現在的實體教育體系「一個蘿蔔一個坑」，設計一個打擾上課風險很高的機制，是比較簡單卻即時的做法。

例如真的去按照每個學校學生學籍資料，直接設計一個把線上點名跟開啟視訊連結起來，並必須搭配聯動學籍資料的專屬會員系統才能登入的系統；也就是說，老師要確切知道這個登入帳號真能連動學生學號，才能允許他進來上課；而且可能更重要的是，必須訂下比現在更嚴格、更有強制力的教室處罰規則，去增加學生「讓帳號」的風險。但這系統理應就該是由教育部或是各地方政府教育部開發統籌，而非各別教師的責任了。

目前國內許多教育科技新創，其實都已經接上教育部的 OpenID 認證 API（如下圖），只要教育部系統證實「這是學生無誤」，就可以登入使用，現行已經有簡單的解決方案。

但說真的，我更認為長期來看，未來社會根本不應該往這種「全控機構」的方向走。既然都在談線上化、隨便都能在 OpenCourseWare 上課，身在處於知識只要有心極容易取得的現代，那更不應該從根本上改變捨棄傳統必須一個蘿蔔一個坑的一對多方式，用更開源、開放重新思考基礎教育的授課方式嗎？到時候 Zoombombing 可能也不是問題了，制度上讓學生更願意自主學習才是。

核稿：李柏鋒

延伸閱讀：