第859集：黑客攻击情况洞察（1/1）

纸张还在打印机托盘里微微颤动，边缘卷曲着，像是刚从一场长途跋涉中归来。刘好仃没碰它，只是站在离线电脑前，盯着屏幕上那四次远程访问的时间线，一动不动。

他没开灯，办公室的光来自走廊，斜斜地切进屋里，照在U盘接口上，闪了一下。

“来吧。”他轻声说，拔下U盘，夹进文件夹，转身出门。

七点整，技术科临时腾出的小会议室已经坐了四个人。桌上摆着三台笔记本，全都断了网。小张带来了整理好的日志汇总，老李抱着从IT那儿软磨硬泡要来的跨境登录记录，小陈则把昨晚写的脚本又跑了一遍，加了颜色标记。

刘好仃把文件夹打开，取出打印件，一张张铺开。

“这不是误触，也不是系统发疯。”他指着其中一行，“东京那次，凌晨两点十七分，下载的是我们AI模型的训练样本。苏黎世，目标一样。迪拜，还是它。三地，三天，同一个文件夹，像排班上班。”

小吴低头翻自己的笔记：“访问间隔平均36小时，刚好够轮一圈。”

“所以不是一个人，是一伙人。”刘好仃点头，“他们不急，也不吵，就悄悄来，拿一点，走人。像掏口袋，不惊动你。”

会议室安静下来。小张忽然抬头：“可这数据是加密的，他们拿去有什么用？”

“谁说他们没解开？”刘好仃拿起笔，在白板上画了个圈，“我们以为锁好了，可钥匙孔说不定早就被人量过尺寸。”

他转向小吴：“你查的那批训练样本，有没有发现不对劲的地方？”

小吴翻到一页：“有。在迪拜下载的‘Sample_Set_V2’里，有一段工艺参数，不是我们厂注册的专利技术，参数组合甚至不符合物理规律。”

“假的？”小陈凑过来。

“更像是——”刘好仃顿了顿，“别人塞进去的。就像往米缸里掺沙子，等你做饭时才发现米不香了。”

老李皱眉：“那他们图什么？让我们AI学歪？”

“图我们信以为真。”刘好仃在白板上写下三个词：窃取、试探、反向渗透。

“第一种，最简单，直接抄技术，拿去仿制。第二种，摸底，看我们哪天值班，哪道门松，哪把锁响。第三种——”他停顿了一下，“最狠。他们不只偷东西，还想让我们自己把门打开。”

小陈听得头皮发麻：“你是说，那个AI风控系统，本来是防贼的，结果贼给它喂了假情报，现在它反倒帮着贼认亲？”

“差不多。”刘好仃笑了笑，“就像你家装了摄像头，结果小偷天天穿你家衣服在门口晃，时间一长，系统就以为他是你亲戚。”

没人笑出来。

小张低头继续拼接数据，忽然“咦”了一声：“刘师傅，你看这个。”

她把屏幕转过来。是一张访问路径对比图。三地的IP虽然不同，但每次请求的文件顺序完全一致：先调取基础参数表，再访问控制逻辑模块，最后进入AI样本库。像一套固定的“参观路线”。

“这不是随机扫。”小张说，“是熟门熟路。”

刘好仃凑近看，手指在屏幕上轻轻划过：“他们知道我们要保护什么，所以专挑最核心的地方下手。而且——”他抬头，“他们不怕被发现，只是不想被当场抓住。”

“低频、多点、轮换代理。”小陈突然接话，“我脚本里加的规则正好能抓这种行为。他们每次只试三到五次，换地儿，换时间，像散步。”

“对。”刘好仃点头，“破坏系统容易，但太显眼。他们要的是长期潜伏，等哪天我们自己把大门推开。”

老李喝了口茶，声音低：“那咱们现在怎么办？总不能一直盯着日志过日子吧？”

“现在还不用反击。”刘好仃把白板擦掉一半，重新写下三列标题：来源地、频率、目标敏感度。

“先搞清楚他们长什么样。我们过去防的是‘手伸进来’，现在得防‘影子贴在墙上’。不知道对手怎么想，就谈不上防守。”

他让小张把三地访问数据按新模型分类，小陈继续优化脚本，增加“路径一致性”评分功能，老李则负责梳理过去三个月所有跨境访问中带有客户账号签名的记录。

“重点查那些登录时间跟客户工作习惯对不上的。”刘好仃说，“比如马来技术支持，平时白天上线，突然半夜冒出来，还用新加坡的网，那就得问问——真是他吗？”

散会前，刘好仃把小吴单独留下。

“你之前查AI模型的训练数据源，有没有发现谁上传过那些假参数？”

小吴摇头：“上传记录被清过，创建者信息空着。但……”他犹豫了一下，“我比对了系统日志，那段假数据是三个月前加进去的，正好是IT上线AI测试版那周。”

刘好仃没说话，从文件夹里抽出一张纸，是昨晚打印的访问记录。他在“UAE-Proxy-3”下面画了道线，又在旁边写了个词：“V2→V3？”

“他们下了V2。”他轻声说，“那V3呢？是不是已经在路上了？”

小吴愣住：“你是说，他们不仅偷了样本，还可能知道下一版模型怎么改？”

“不然呢？”刘好仃合上文件夹，“我们在这儿分析他们怎么来，他们可能已经在想怎么让我们信他们。”

下午两点，小组第二次碰头。小陈的脚本跑出了新结果：过去七天，共识别出11次“高路径一致性”访问，其中6次经新加坡代理中转，4次来自迪拜节点，还有1次伪装成德国客户技术支持账号，试图调取Patent-001的温度反馈逻辑模块。

“这回没用公共代理。”小陈指着屏幕，“IP直接挂在一家注册于阿联酋的网络服务公司名下，但登录设备指纹跟德国客户上次用的平板完全不符。”

“冒名顶替。”老李叹气，“账号密码被人扒了。”

“或者——”小张小声说，“内部有人泄了密。”

会议室一静。

刘好仃没反驳，只是把白板上的攻击路径图又画了一遍。这次，他用红笔特别圈出“UAE-Proxy-3”，然后在旁边写了个大大的“？”。

“我们一直以为他们在外面撬锁。”他指着那个问号，“可如果，钥匙本来就在屋里呢？”

没人接话。

小吴忽然抬头：“刘师傅，你说他们塞假数据进AI样本库，是为了让我们系统认错人。那……有没有可能，他们早就知道我们什么时候会发现？”

“什么意思？”

“我是说——”小吴声音压低，“那个AI风控系统，是IT悄悄上的。我们不知道，但他们好像早有准备。是不是……有人提前告诉了他们？”

空气像是凝住了。

刘好仃慢慢摘下眼镜，用衣角擦了擦镜片，再戴上。

“现在不重要是谁干的。”他语气平静，“重要的是，他们知道我们知道。”

他走到白板前，拿起红笔，在“反向渗透”下面划了一道：“他们不只是来偷技术的。他们是来改规则的。让我们自己怀疑自己，让我们自己关掉警报，让我们自己把门打开。”

小陈喃喃道：“那我们还能信谁？”

“先不信别人，也别太信系统。”刘好仃把笔放下，“信数据，信逻辑，信咱们自己拼出来的这条链。”

他翻开笔记本，写下一行字：攻击画像已完成，动机分类明确，下一步——制定安全方案。

然后合上本子，抬头看小吴：“你之前查训练数据源，用的是离线机，对吧？”

“对，没联网，也没走邮箱。”

“好。”刘好仃点点头，“接下来，查得再深一点。特别是那个‘V2’样本库，是谁批准上线的？谁负责维护？谁有修改权限？”

小吴记下。

“还有，”刘好仃声音更低，“别用公司系统查。用你自己的设备，查完就删记录。”

小吴抬眼看他。

刘好仃没笑，也没解释，只是轻轻拍了拍他的肩膀。

傍晚五点四十五分，办公室只剩刘好仃一个人。他重新插入U盘，打开隐藏文件夹，找到那份被四次远程访问的AI训练日志。

他点开属性，查看时间线图谱。最后一次下载记录还在：4月13日 18:03，来源：UAE-Proxy-3，操作：下载（部分）。

他把这段日志复制到一个新文件，命名为“攻击链-初核版”，准备明天晨会用。

手指悬在回车键上，忽然停住。

他记得，昨晚导出时，这份日志的大小是2.3MB。

现在，是2.5MB。