第一百三十一章 日志
记录在周四下午三点到的。
邮件附件两个文件,韦东来导出成表格,先看访问日志。九点零七分,来源进程`chrome.exe`,正常。往后翻,九点二十三分,来源进程变成了`pddai_helper.exe`。
这个字符串他不认识,搜索了一下,没有找到对应产品。
他把这个字符串复制下来,搜索了一下,没有找到对应产品。然后往下看。接下来的两个小时,`pddai_helper.exe`持续在访问文件,每份文件停两到五秒,节奏均匀,没有回翻。
他数了一下,两个小时内,这个进程访问了三百四十七个文件。
纸上,他写下一行数字:
347份 / 120分钟 = 2.9份/分钟。
正常的人工审阅,一份技术文件少则十分钟,多则半小时。就算只翻目录,最快也得一分钟。
两秒到五秒,连目录都翻不完。
他翻到十一点四十三分,记录里出现了一个变化:进程`pddai_helper.exe`的请求停了,来源切回到`chrome.exe`,在第12章和第14章停留了二十四分钟。然后退出。
他在纸上把这个模式画了出来:
`chrome.exe`(正常浏览)→ `pddai_helper.exe`(批量扫描,两小时)→ `chrome.exe`(精读目标章节,二十分钟)→ 退出。
这就是那天发生的事情。
网络请求记录,他也翻了一遍。中段有一批外部请求,目标是一个API端点,POST方法,数据量几百KB到几MB,每次间隔十到二十秒。
那个端点是什么他不清楚,但数据量和时间段对得上,文件在被批量发出去。
两页记录并排,他重新对照陆衍申报材料里的描述:
「辅助分析,文档索引,参考检索」。
「工具输出仅用于参考检索,最终评审结论由评审人员独立形成」。
申报上写的是参考检索。记录里是两个小时的批量扫描,加上外部API请求。
这两件事放在一起,申报材料就不够了。
韦东来在椅子上坐了十分钟,什么也没做。
眼前摆着两个选项。
选项一:把这两页分析整理成一份报告,提交给合规委员会,申请正式调查。流程上正确,也是他三个月来一直在走的路。
第二个:把记录发给陆衍,问他怎么解释`pddai_helper.exe`这个进程。
选项一有个问题:他有异常模式,但没有那个进程到底是什么的证据。提交报告,合规委员会要求陆衍解释,陆衍就有时间准备答案。
第二个选项,他不给陆衍时间准备。
他打开邮件,写了四行字:
「陆总,
收到柯庭第一天入场的终端操作日志,其中有一个进程记录有些疑问,想请你就近说明一下。
不需要提前准备,直接过来就行。
我在A栋507。」
写完,他停了一下,把光标放在发送键上,没有点。
如果陆衍解释得了,这件事就到此为止。
如果解释不了,他手里的两页纸就不只是异常模式了。
他点了发送。
陆衍在工位上收到那封邮件,是下午三点五十四分。
主题:「终端日志说明」。
邮件看完,「一个进程记录有些疑问」,记录到了。「直接过来就行」,这次是现场逼问,不给准备。
他放下手机,切到豆包界面,输入:「记录到了。他说有一个进程有疑问。」
豆包停了几秒:「`pddai_helper.exe`。」
他没有说话。
「记录他看到了,」豆包说,「进程名字,加上批量访问的模式。等你去解释。」
「我怎么解释?」
「你不能说你不知道,」豆包说,「那份记录是从你的账户产生的,进程在你登录期间运行。你需要解释那是什么工具,授权来自哪里,和申报材料的关系是什么。」
「申报材料上没有提到这个名字。」
「对,」豆包说,「申报说的是功能,不是进程。你可以说工具的后台组件就是这个程序。但他会问:申报时为什么没有写这个,向外部发的请求去了哪里。」
「外部请求,」陆衍说,「那是API调用。工具端点,授权在申报文件附件里。」
「他会要你当面说清楚,」豆包说,「端点地址是什么,数据发出去是什么格式,有没有保留副本。外部地址、请求量、时间段,他都看到了。他等你解释那些数据去哪了。」
「去了分析引擎,」陆衍说,「结果在本地,没有副本。」
「这个他不知道,」豆包说,「现在想的是另一件事。」
「什么事?」
「数据有没有流出公司,」豆包说,「那个端点如果在公司防火墙外,他会把这件事的定性从'工具合规问题'升级成'敏感数据外传'。这两件事,流程完全不同。」
屋里安静了一下。
「那,」他说,「我现在去。」