痕迹

第一百二十五章 痕迹

韦东来提交那份申请，是周三晚上，从609室回来之后。💬

申请的名义是「信息安全合规复核」，对象是六个月内指定终端的外发网络记录。他在系统里填完，把申请发到IT合规组的收件箱，附上了自己的部门权限认证。💬

系统回复说：「材料将在24小时内整理完毕，请等待通知。」💬

窗口关掉，坐在椅子上想了一会儿。💬

如果有的话，会在那里。如果没有，他就可以把这件事放下了。💬

第二天上午，陆衍和乔木到了柯庭集团的主楼。💬

这是第一次正式评估入场。柯庭安排了一间专用的资料室，把需要审阅的文件全部预置在里面：系统设计文档、供应商清单、FMEA草稿、历次变更记录，四十七个文件夹，总页数超过两千页。💬

乔木把文件夹逐一登记，陆衍先扫了一遍目录结构，把需要重点核查的分系统挑出来，从气动控制组开始。💬

后台那边，豆包跑完了第一层扫描，标注了三个需要人工确认的地方。陆衍依次打开，前两个是供应商文档里常见的单位换算问题，处理完用了不到二十分钟。💬

第三个放在第12章第4节，是一条标准引用注脚。💬

注脚内容看了一遍，引用的标准编号查了一下。💬

原始标准是2009年版，2019年已经更新，响应时间要求从200ms收严到120ms。文档引用的是旧版，而系统设计是按旧版参数做的。这意味着当前设计在新版标准下不合规，认证机构入场后第一轮就会被退回。💬

旁边用铅笔圈了一下，写了一个问号。💬

下午两点，他把这一条提给了在旁边整理文件的技术总监。💬

技术总监低头看了那段注脚，翻到对应章节，又翻了一遍标准编号。沉默了将近一分钟。💬

「这条注脚，」他说，「进了多少轮审核了？」💬

「正文版本历史里，这一节最近一次修改是2020年，」陆衍说，「那时候新版标准刚出不久，很可能没有注意到引用需要同步更新。」💬

「我们有六个工程师过了这份文件，」技术总监说，「没有一个人发现。」💬

「注脚这类东西不显眼，」他说，「标准引用的差异，通常要对比新旧版本才能看出来。」💬

技术总监把那一页拍了照，发给了上面的人。大概过了二十分钟，柯庭本人从楼上下来，走进了资料室。💬

柯庭走进来，直接对陆衍说：「你找出来的那一条，如果在评估结束之前发现，我们还有时间改。如果到认证机构那边才发现，整个气动模块要重新走一轮，大概是两个月。我们的发布窗口就没了。」💬

「现在发现，还有余地，」陆衍说，「按新版参数重新核一遍设计，如果只是气动回路的控制逻辑，六周以内能改完。」💬

「两个月的返工，损失保守估计在四百万以上，」柯庭说，「我们自己没发现。你们入场第一天发现了。」💬

他停了一下，看了陆衍一眼，说了一句：「继续。」💬

然后走出去接电话了。💬

门带上后，资料室里安静了几秒。技术总监把那一页翻来翻去看了两遍，抬头对陆衍说：「这个项目，我们自己做了八个月。」💬

「注脚很容易漏，」陆衍说。💬

「我们有六个工程师在这份文件上过了两轮，」他说，「没有一个人发现。」💬

没有接这句话。翻开了下一个文件夹。💬

那天傍晚，乔木在回程的车里说：「今天找出来的那条，柯庭那边应该很紧张。」💬

「他们知道重要性，」陆衍说，「处理起来不难，麻烦的是要重新对标新版验证，这需要时间。」💬

「你是什么时候看到的？」💬

「豆包先标注了出来，」他说，「让我去核确认。」💬

乔木看了一眼窗外，没有说话。💬

晚上七点二十分，韦东来收到了IT合规组的邮件，附件是整理好的日志文件。💬

文件下载下来，打开了第一张表格。💬

日志按时间轴排列，显示近半年内，编号D-0841终端（与陆衍的工位绑定）所有向外部网络发起的HTTPS连接记录：目标IP、端口、时间戳、数据包大小。💬

他先看了一遍总量。六个月，大约五万条记录，这个数字在正常范围内。💬

然后他开始做交叉比对。💬

他手里有陆衍在过去六个月的评审任务时间表，这个可以从任务系统里导出。他把评审任务的时间段和日志文件比对，看有没有显著的流量模式变化。💬

用了大概一个小时，他在表格里用颜色标出了一组记录：集中在每次评审任务进行期间，有一组外发连接，特征是固定的短包、高频、目标是同一个IP段，每次请求间隔在0.5秒到3秒之间，持续时间和评审文件的打开时长高度对应。💬

浏览器、邮件客户端、标准办公工具都不会有这种模式。💬

他查了一下那个IP段的归属：某云计算平台的API接口池，没有具体业务名称，是公开的商用API网关。💬

流量是加密的。他看不到里面传了什么。💬

但他已经不需要看内容了。💬

纸上写下：💬

外发流量 × 评审任务时间 = 高度相关 工作中实时触发，系统后台不会有这个模式💬

包型：短包高频，API调用特征 有一端在发问，有一端在实时回答💬

目标：商用API网关，服务内容未知 内容不可见，来源可以追查💬

持续：三年以上（按当前记录推算） 系统性工作方式，常态，非偶发💬

那个「三年以上」让他在椅子上停了很久。💬

三年。泉华案的所有评审记录，柯庭案的前置分析，过去三年里陆衍交出来的每一份评审结论，背后都有这个流量在跑。💬

那个推算数字又过了一遍。💬

这不是偶发的工具辅助。这是一个系统性的工作方式，已经运行了很长时间。💬

他在纸上画了一个圈，然后把笔放下，推开椅子，走到窗边站了几分钟。💬

窗外的灯光已经很密了。楼下路灯亮着，偶尔有车经过。💬

他回到桌子前，打开了终端合规审计的申请表单。💬

这个审计比日志申请的权限高一级，可以对指定终端做完整的应用层行为记录，包括已安装程序、运行进程、本地文件访问日志、截图快照。它通常用于员工离职审查或重大合规事件调查，申请需要HR备案，但部门总监有权直接发起。💬

他在「申请理由」一栏里填：「内部评审流程异常，疑似存在未经申报的第三方工具接入，依规启动排查。」💬

申请提交出去，附上了那份流量分析作为支撑材料。💬

陆衍是在晚上十点看到那条系统通知的。💬

标题是：「终端合规审计·启动通知」，正文说，D-0841终端已被列入本周期合规审计名单，审计将于下周一上午正式开始，届时终端将进入监控模式，所有应用层行为将被记录和归档。如有疑问，请联系IT合规组。💬

他把手机放在桌上。💬

屋里很安静，乔木不在，孩子睡了。💬

他打开电脑，切到那个小屏幕，豆包的界面是暗的，只有一个等待输入的光标在闪。💬

他输入了三个字：「他查到了。」💬

停了几秒，豆包回：「什么程度？」💬

「网络流量，」他说，「应该是发现了API调用的特征，现在申请了终端审计。下周一。」💬

「终端审计会看到本地进程，」豆包说。💬

「对，」他说。💬

他看了一眼桌上那台伪装成ThinkPad的电脑。💬

在别人眼里，它就是一台旧电脑，运行着一个正常的Windows操作系统，上面没有任何异常的软件。豆包的运行方式，在系统层面，看起来就是一个本地文本编辑器在和外部API通信。但它确实在通信。审计会看到这个。💬

「有办法把通信记录清理掉吗？」💬

「可以，」豆包说，「但日志已经在外面了，你删不掉IT那边留存的。清理本地的，只会让审计发现本地和服务器记录不一致，这更可疑。」💬

「那就不清，」他说。💬

豆包停了一下：「下周一，审计人员会问：这个进程是什么，谁授权的，在和哪个外部服务通信，有没有经过公司信息安全审批。」💬

盯着屏幕，没有说话。💬

他知道这些问题怎么回答。也知道，他没有任何一个听起来合规的答案。💬

他靠在椅背上，看着天花板。💬

下周一。五天。💬