如果有你完全可以信任的老师或辅导员，即使学校管理部门开始威胁解雇人，你知道会保密你的名字，我会先去找他们，私下和他们谈谈。他们不需要了解计算机或安全性（你也不需要详细讨论这个问题），他们只需要值得信赖并善于驾驭学校的行政政治：你需要关于个性的建议涉及的人员以及您报告该问题的危险程度。如果他们对报道完全持谨慎态度，那么你应该保持沉默。

如果有足够权力的人感到尴尬，他们可能会开始寻找可以解雇或驱逐（或者，在最坏的情况下，被捕）的人，以制造他们控制局势的错觉。如果您与行政和 IT 部门友好并受到他们的信任，并且您知道他们过去曾支持过学生，即使这让他们看起来很糟糕，那么分享这个问题的风险可能会更小，但我仍然建议通过受信任的中介。

如果您无法与您信任的人交谈以保持匿名，并且您无法匿名报告问题（听起来您不能），那么您最好保持沉默。这意味着完全安静：不要谈论你在论坛上发现了什么，不要告诉你的朋友你发现了什么，也不要在几周内再次尝试“看看它是否已修复：”你不不想在任何日志中显示与此有关，尤其是当它被其他人利用时。这很糟糕，但首先要保护自己。

当我重新阅读您的问题（强调我的问题）时，另一个想法让我印象深刻：

当我没有被允许检查时，我应该如何告诉学校他们很脆弱？

你能得到许可吗？一旦获得许可，您就可以“发现”问题（无需告诉任何人您之前发现过该问题）并报告它，而不必担心因未经许可擅自进行黑客攻击而受到指责。

如果您已经在参加由一位友好的老师教授的计算机课程，那么这将是最简单的，该老师将与 IT 合作，为您提供额外的学分以进行笔试。或者，如果您对 IT 领域的任何人都友好，您可以直接联系他们，并建议您对研究网络安全感兴趣并希望有一天能找到一份工作，并且您可以通过对本地网络进行渗透测试来获得一些经验. 如果您已经因擅长计算机和安全以及值得信赖而享有盛誉，那么您可能有很好的机会让这种方法发挥作用。

如果您要正确处理，这将需要比简单地报告问题更多的工作。你需要测试更多的东西，这样你才能有效地洗白你对现有安全漏洞的了解（当然你可能会很幸运，发现更多的问题！），你需要写一份报告，详细说明你的一切做了，为什么，你发现了什么。他们还可能会限制您被允许测试的范围，或者为您提供一个不会暴露您已经发现的问题的测试系统，这意味着您将无法完成工作和编写报告而无法披露原来的问题。

当然，这是一种相当“偷偷摸摸”的报告问题的方式。如果你被拒绝了，你可能应该对最初的问题保持沉默，因为如果你报告了它或其他人报告了它并且它被追溯到你，人们会记得你什么时候要求进行渗透测试并开始询问关于你和你可能是多么值得信赖。所以这种方法存在一定的风险。

你应该怎么告诉他们？你不应该。

让我们看看这里的潜在后果。由于您在未经许可的情况下在他们的网络上闲逛（这几乎可以肯定违反了您的学生协议以及您单击以访问他们的 IT 系统的任何同意），您可以期望的最好结果是他们会解决这个问题，你会得到一个小小的安慰。

另一方面，至少有一个合理的变化，他们会得到错误的结果，将你从学校开除，甚至可能会报警。由于还有其他黑客事件，他们可能会假设您也以某种方式参与其中，从而增加了法律后果的可能性。

至少，尽管你的意图很好，但你几乎肯定触犯了法律。虽然学校可能会选择忽略这一点，但他们也可能不会。

当您权衡利弊时，选择应该是显而易见的。

“女士，我只是想让您知道，如果您在车库门的门栓上滑动一条金属条，您可以毫不费力地打开它。”

只是不要透露。我们中的许多安全人员都在我们大学的计算机系统中发现了漏洞，但披露它并没有任何好处。让其他人找到并披露它，但不要被指控破坏不属于您的系统。我去过的学校有很多故事，其中信使因试图破坏系统而受到惩罚。我敢打赌，您更有可能通过披露漏洞而不是自己恶意利用它而受到惩罚。

如果您出于个人原因要求系统不被破坏，请联系系统管理员质疑系统的安全性，以免您的数据被个人窃取。针对您发现的缺陷提出问题，希望管理员发现相同的缺陷，但不要暗示您之前曾尝试访问该系统。