清晨七点十二分,信息科的显示墙依旧平静。那条“停机回声”的点阵没有消失,只是从密集变成稀疏,像一条在水面下移动的暗流。暗流不掀浪,却会改变水的温度。
罗工把凌晨两点零六分的“十分钟试跑”预警固定在时间轴中央,旁边是一行简短的内部指令摘要:**只试跑十分钟,看门槛。别投放,别开群。**
周工盯着“看门槛”三个字,忽然笑了一下,但笑意里没有轻松:“他们把我们当成风洞了。先在风洞里试机,再决定要不要起飞。”
纪检联络员把行动单翻到新的一页,页眉写得很干脆:**十分钟风洞**。她在下面加了一句更冷的注解:**试跑越短,越说明他们怕留下脚印;越怕脚印,越说明门槛有效。**
护士长打来电话,说话仍旧是那种病区里练出来的短句节奏:“家属端稳定。‘每天更新’贴着,没人再追问长解释。早上有人问我‘看状态码算不算泄露信息’,我就回‘不算。只看状态,不发回执。’他就不问了。”
纪检联络员点头:“保持。群众端越稳,我们越能让他们把试跑当唯一出口。”
周工问:“十分钟试跑,我们怎么接?”
纪检联络员没有用“拦截”“打掉”这种词,她只说:“不阻止他们试跑,但让他们每一次试跑都变成一次更完整的自证。”
罗工已经把“风洞接收”方案列成三段式:
***可见层**:dns试探、落地页路径、静态资源命名、表单字段顺序
***行为层**:加载顺序、跳转链节律、请求频次、错误重试习惯
***控制层**:后台配置动作、验证触发方式、冷却触发后的撤退路径
“我们要的是习惯,不是壳。”罗工说,“十分钟里,他们来不及换,习惯。”
系统提示在林昼视野边缘亮起:
行动:风洞接收
目标:十分钟试跑→固化hand-trace
原则:不惊动群众端,不制造讨论,不拉高对抗
林昼把手机拿起来又放下。他知道今天的紧张不在外面,而在“十分钟”的窗口里:越短的窗口,越可能发生失误;越可能发生失误,就越可能露出更深的控制层。
---
###1)风洞不是陷阱,是镜子:让他们看门槛,也让门槛看见他们
上午九点半,罗工把隔离环境的采样器调成“短周期高精度”。采样器不做任何主动干预,只做两件事:记录请求结构、记录时间节律。所有记录被自动加上哈希回执,进入保全模式。
周工看着配置界面,提醒了一句:“不要让他们感觉到我们在‘钓’。”
罗工点头:“不会。我们只做镜子。他们照镜子的时候,把自己的手势留给我们。”
纪检联络员把“镜子”这个词记进行动单:“镜子意味着不改变对方行为。改变对方行为会引发对抗;不改变,只让他自证。”
护士长这时发来一张病区角落的照片:墙上那张白纸“窗口每天更新状态”被贴得更平整。旁边三步法的小注“回执也不外发”字迹很轻,却很稳。
纪检联络员看了两秒,像看见某种更长久的防线:“群众端的灯越稳,风洞的十分钟就越可能成为他们唯一的出口。他们越依赖出口,越会急,越会露。”
---
###2)流程自证应对投诉:把“灯”从情绪变成制度
上午十点,医院办公室召开一个短会,应对“侵犯隐私”投诉的流程核查。会议不长,参会的人却很关键:信息科、合规、纪检联络员、护士长代表。
纪检联络员带来的材料只有一页纸,标题是“核验窗口信息处理边界说明”。内容不写对抗,只写边界:
*窗口展示的是状态码与风险提示,不展示个人隐私
*回执仅用于系统内追溯,不要求用户外发
*线索提交仅收链接样本、截图录音等公开行为证据,不收病历、不收身份证、不收个人敏感资料
*所有操作有审计与保全,具备最小化与可追溯原则
*每日更新是状态更新,不是信息收集扩张
合规人员看完,问了一个最现实的问题:“如何保证工作人员不引导群众私下提供材料?”
护士长答得很快:“我们只复述固定短句:回执不外发,有疑问只看状态码。没有任何私聊收集。”
纪检联络员补了一句:“我们把固定短句作为工作规范固化,减少自由发挥空间。自由发挥越少,风险越可控。”
会议很快结束。没人需要“证明自己很正义”,只需要证明流程可复核。对外部核查而,流程比态度更重要。
周工走出会议室时低声说:“他们想让灯变哑,结果我们把灯写进制度里了。”
纪检联络员点头:“这就是轻关门。门关得轻,是因为门轴是合规流程,不是情绪。”
---
###3)十分钟试跑开始:新壳像新衣,但手势没换
下午一点五十七分,预警再次亮起。dns解析出现短时试探,随后落地页路径部署。路径命名依旧是两段英文加四位数字,静态资源的命名风格也带着旧习惯:喜欢用看似随机却有规律的短串。
罗工把这些细节打进hand-trace:
*ttl区间习惯值
*路径命名规律
*静态资源加载顺序偏好
*表单字段隐藏项默认值风格
两点整,落地页第一次完整加载。页面文案更“温柔”:不再写“核验”,写“关怀回访”;不再写“加群”,写“领取整理清单”;不再写“专员协助”,写“志愿者陪伴”。
“换词。”周工说,“不换骨。”
罗工把源代码中的字段拉出来:仍有隐藏字段,仍有追踪字段,字段顺序做了微调,但那种“先追踪后手机号”的布局仍在。更明显的是一处极不起眼的默认值:`mode=slot`。slot分发的外包线路没被放弃,只是从明面转到暗面。
纪检联络员看着`mode=slot`,只说:“他们没能摆脱产能模型。他们只能把模型藏起来。”
两点零三分,表单回调触发。回调端点换了域名,但回调的签名格式与旧链条高度相似,像同一套工具箱。工具箱换不掉,是因为换掉意味着重新训练坐席与总控。
两点零六分,后台出现一次配置动作:尝试启用批量分发。动作触发了反向白名单的门槛,进入强验证提示。随后出现短暂的停顿――十几秒的停顿,像手在门把上停住,犹豫该不该继续拧。
两点零七分,尝试切换验证方式。切换失败。冷却开始。
两点零八分,落地页突然撤回,解析回滚。十分钟没到,他们就收手了。
“他们试跑失败。”周工说。
纪检联络员纠正了一句:“不是失败,是门槛有效。门槛有效意味着他们选择撤退。撤退也是证据。”
罗工把整个十分钟的行为层节律固化成一条“撤退指纹”:
*配置动作出现→强验证触发→验证切换→冷却开始→回滚撤退