手指悬在回车键上,刘好仃忽然停住。
他记得,昨晚导出时,这份日志的大小是2.3mb。
现在,是2.5mb。
他没动,也没出声,只是把U盘拔了出来,夹进旧皮夹里,起身走到小吴工位前,低声说:“借你那台离线机用一下。”
小吴点头,顺手把电源线往角落扯了扯,确保没有网口接入。
刘好仃打开笔记本,插上U盘,把两个版本的日志文件拖进十六进制比对工具。屏幕左侧是昨晚的原始数据,右侧是刚保存的“新”文件。前半段完全一致,直到最后两千字节,右侧突然多出一段加密块,伪装成系统归档日志的格式,连时间戳都伪造得像模像样。
“不是系统自动备份。”他指着屏幕,“是有人在我们看不见的地方,悄悄塞了东西进来。”
小张凑过来:“这玩意儿能干嘛?”
“能监听后续操作,能记录我们查了什么,甚至能反向定位离线设备。”刘好仃关掉程序,“现在每台联网电脑,都不能信。”
他把异常代码截图,存进手机加密相册,顺手删了缓存记录。
第二天一早,四个人又聚在技术科角落的小会议室。门关着,窗帘拉了一半,桌上摆着三台断网的笔记本,还有一本崭新的硬皮笔记本,封面上贴着“静默守卫”四个手写字。
刘好仃把手机照片投到投影幕布上:“这是昨晚被篡改的日志末尾。攻击者已经能模仿系统行为,如果我们走常规上报流程,信息可能直接送到对方手里。”
老李皱眉:“那It部门也不能信?”
“不是信不信的问题。”刘好仃说,“是他们一旦介入,流程就会留下痕迹。而我们现在要做的,是不留痕迹地查清楚——谁能在系统里加这段代码,谁有权限批准日志归档,谁能在不触发警报的情况下修改核心数据。”
小陈低声问:“我们自己查?”
“对。”刘好仃翻开白板上的攻击画像,“过去我们防的是外人撬锁,现在得防家里人拿钥匙开门。他们知道我们知道,所以一定会盯着我们的动作。我们得走暗线。”
小张翻开新本子,在第一页画了把锁,底下写:“谁有钥匙?”
刘好仃看了眼,没说话,只是从包里拿出一份手写流程草图。
“我昨晚想了一夜,定了个双轨方案。”他把草图贴在白板上,“第一轨,对外,加强日志审计频率,但不通过系统自动生成,改由我们手动提取关键节点数据,每天早晚各一次,纸质归档。”
老李点头:“这样就算系统被监控,他们也看不到完整链条。”
“第二轨,对内。”刘好仃指向图中另一条线,“所有涉及AI模型、专利参数、跨境数据的操作,必须双人复核。一个人申请,一个人审批,审批人不能是直接上级,得跨组指定。”
小陈皱眉:“那不是变相增加工作量?”
“是增加麻烦。”刘好仃笑了笑,“但贼最怕麻烦。他们指望我们图省事,走捷径,我们偏偏反着来。越麻烦,越安全。”
小吴问:“那已经发生的操作呢?比如那个假数据是怎么混进去的?”
“倒查。”刘好仃拿出一支红笔,在白板上画了个时间轴,“从三个月前AI测试版上线开始,所有高危操作,谁批的,谁执行的,谁复核的,全要对上。我叫它‘权限溯源表’。”
老李忽然说:“patent-001模块的维护日志,需要厂长审批才能调取。”
刘好仃记下这句话,没多问,只是在本子上划了条线。
会议继续。
他们决定用纸质记录代替电子文档,所有讨论内容不上传任何系统,每日汇总由刘好仃手写整理,存入带锁文件盒。小张负责日志提取,小陈优化脚本用于本地分析,小吴主攻数据源倒查,老李协调资源,确保不引起注意。
“我们不搞大动作。”刘好仃收起白板,“不升级系统,不报警,不惊动任何人。就当什么都没发生,但我们心里得清楚——从今天起,每一步都得走稳。”
散会前,小陈还是有点犹豫:“万一It发现我们私下搞这套,会不会说我们越权?”
“我们没越权。”刘好仃把方案打印稿折好塞进衣兜,“我们只是在做本该做的事。系统是工具,人是判断。他们想让我们怀疑自己,我们偏要更清醒。”
他顿了顿,声音放低:“真正的安全,不是锁多厚,是知道谁在用钥匙,什么时候用,为什么用。”
小吴收拾包时问:“下一步查哪儿?”
“档案室。”刘好仃说,“V2样本库上线那天的审批单,纸质档。你去借,别用登记系统,就说帮质检科查旧参数。”
小吴点头。
刘好仃走到门口,又回头看了眼会议室。
小张还在本子上涂涂改改,那把锁的简笔画旁边,多了几行小字:“双人复核”“纸质留痕”“溯源倒查”。
他没多看,转身下楼。
中午,刘好仃在食堂打了份青菜豆腐,坐在靠窗位置慢慢吃。隔壁桌几个年轻技工在聊最近厂里新上的AI系统,说听说国外客户都夸智能,连参数偏差都能自动纠正。
“咱们厂要出名了。”一人说。
刘好仃低头喝汤,没接话。
饭后回办公室,他从抽屉里取出一个旧信封,里面是几张手写的流程草图和一张手绘的权限关系图。他翻到背面,用铅笔写下:“审批权限太集中,风险点:patent-001、V2样本库、跨境数据导出。”
写完,他把信封封好,写上“静默守卫-内部调查专用”,锁进柜子。
下午三点,小吴回来,手里捏着一份泛黄的审批单复印件。
“找到了。”他压低声音,“V2样本库上线审批人是It主管,执行人是系统运维员,复核栏……空着。”
刘好仃接过单子,指尖在复核栏轻轻划过。
“没复核?”他问。
“没有。而且签字笔迹和It主管平时不一样,像是代签。”
刘好仃把单子翻过来,对着光看水印。
“这不是原件。”他说,“是扫描后重新打印的。档案室那张,可能被人动过。”
小吴愣住:“那还能信什么?”
“信我们自己还在查。”刘好仃把单子收好,“他们改文件,我们就查流程。他们删记录,我们就找纸质档。只要我们不停,他们就永远不知道下一步我们查什么。”
他站起身,走到白板前,拿起红笔,在“权限溯源”下面加了一行字:“重点:审批链断裂,复核缺失,代签嫌疑。”
然后转身对小吴说:“明天,你再去一趟档案室。这次,别借复印件,要原件。就说厂长要抽查历史流程合规性。”
小吴点头。
刘好仃看了看表,五点四十分。
他拿起包,走出办公室。
电梯里,他掏出手机,打开加密相册,翻到那张异常代码截图。放大,再放大,直到看清最后一行伪装日志的编号格式。
他记下那串数字,删掉浏览记录。
走出厂门时,夕阳正落在玻璃幕墙顶上,反射出一片金红。
他没回头,径直走向公交站。
到站后,他没上车,而是站在站台角落,从包里拿出那个带锁的文件盒,打开,取出今晚的手写记录。
翻到最后一页,他写下:“双轨防御已定,团队共识达成。下一步,从审批源头切入,查清V2样本库上线真相。静默守卫,正式启动。”
写完,他合上本子,锁好盒子。
公交进站,车门打开。
他拎着包,正要上车,忽然停下。
从文件盒夹层里抽出一张纸——是昨天打印的访问日志副本。他盯着“UAE-proxy-3”那一行,用红笔在“proxy”底下划了两道线,又在页脚补了两个字:“中转?”
然后他把纸折好,塞进内袋。