第98章 落地：触发者的手与最后的门

清晨七点二十，周砚刚到办公室，手机里就多了三条未读消息，全部来自董事长办公室秘书。内容很短，却像三根钉子：

1）董事会部分成员收到“内鬼名单”后情绪波动，要求尽快“明确责任人”；

2）重组方希望当日获得第三方阶段性结论摘要；

3）秘书长办公室请董事长安排一场“沟通会”，主题是“避免扩大化”。

避免扩大化这五个字，像旧时代的暗号。它曾经是影子机制最锋利的刀：把调查变成扩张，把追责变成斗争，把边界变成过激。现在它被重新喊出来，说明装置被拔喉管后，最后的门开始被推。

门不是系统门，是组织门。

周砚没有回复“等会儿”。他把三条消息截图编号入库，然后直接走向战情室。顾明已经在白板前写了新的词：**触发者名单候选**。下方列着一排触发记录部署账号、令牌授信实体持有人、隐藏模板库作者、云文档协作者、门禁短时恢复操作员、物业推送接口维护人。

“落地的意思，就是把这些‘候选’变成‘实名’。”顾明说，“第三方说外部托管日志能保。我们要抓住这个支点，今天就把eline的触发者挖出来。”

“先做触发记录链。”周砚说，“再做权限持有人链。最后做指令链。三条链合一，幽灵就会变成人。”

罗主任翻出一份编号通知：“董事长同意。今日重点触发记录复核镜像深挖、董事会情绪管理、对外阶段性摘要。”

陆律补上一句：“还有一件事：秘书长办公室的‘避免扩大化沟通会’，我们要去，但要把会议变成编号会议。任何口头劝退都要落纸面。”

周砚点头：“去。”

---

上午九点，第三方许衡带着两名审计员进到隔离环境。他们手里拿着一份“外部托管日志调取申请”。外部托管日志是自动化平台供应商的审计记录，通常包括：谁在什么时间触发了什么流水线、触发来源ip、触发方式（网页、api、脚本）、触发所用凭证（token指纹）、触发所提交的代码变更哈希。

“我们需要你们法务配合，以公司名义向供应商调取近一年eline所有触发记录。”许衡说，“尤其是授信规则变更相关流水线的触发。我们只要元数据，不要业务代码内容。”

陆律立刻安排。供应商响应比预想快：因为公司有合规调查与警方协查背景，供应商给了一个临时的只读审计接口。许衡在隔离环境登录，调出第一批数据。

屏幕上滚出一串触发记录，像一条很长的河。河里有泥沙也有石头。许衡停在三条记录上，指给周砚看：

* 触发时间：伪造投票包出现前一天夜里 23:12

* 触发流水线：ga-sec-trust-policy-update

* 触发来源：api

* 触发token指纹：**tkn-7f2a**

* 触发者标识：.pipeline**

* 触发关联账号：

第二条记录：

* 触发时间：打印区维护黑屏当天 16:41

* 触发流水线：exec-notify-route-refresh

* 触发来源：api

* token指纹：**tkn-7f2a**

* 关联账号：*

第三条记录：

* 触发时间：证人保护点“临时维修”入侵当天 11:18

* 触发流水线：erty-ext-push-enable

* 触发来源：api

* token指纹：**tkn-7f2a**

* 关联账号：*

同一个token指纹，跨三条关键事件，触发三条关键流水线，关联三类关键账号：集团办公室协调、网关指令、hr保障。

“这就是授信实体。”许衡说，“tkn-7f2a是一把主钥匙。谁持有它，谁就是触发者。”

顾明立刻问：“token在哪发？能追到发放链吗？”

许衡点开token指纹详情：“供应商审计只能看到调用者token指纹，不会给出token明文。但你们内部如果有api网关日志，可以对齐：哪些请求携带了这个token指纹。通常网关会记录token哈希或指纹。”

信息中心主任迅速调出内部api网关日志。对齐很快完成：tkn-7f2a对应的请求来自一台固定的“自动化跳板机”，资产编号：ga-p-03。位置：集团办公室楼层机柜间。管理员归属：集团办公室信息协调专员——**何祁**。

名字落地得比想象更快。

何祁不是领导，不是主任，不是副主任。他是一个“专员”。专员最危险，因为他有技术能力，有执行权限，又容易被上面当作“可替换零件”。如果影子机制要献祭，何祁是完美的献祭品。

“我们不能让他变成唯一中心。”周砚立刻说，“我们要问：谁给他token，谁授予他使用跳板机，谁让他触发哪条流水线。触发者不一定只有他，但他是关键手。”

“先控干预。”罗主任说，“立即冻结何祁所有权限，安排他进入谈话与保护双重状态：既防他继续触发，也防他被灭口或被逼背锅。”

警方技术人员点头：“我们可先以证人身份控制接触范围，必要时升级措施。”

许衡提醒：“在你们控制他前，先做两件事：一，镜像ga-p-03；二，冻结相关token并让供应商吊销。否则有人可能用同token继续触发，或者让他远程销毁证据。”

信息中心主任立刻执行。ga-p-03被从网络隔离，镜像启动，token吊销请求同步提交给供应商，供应商回执：已吊销tkn-7f2a相关api权限，并记录吊销时间戳。

主钥匙被折断。

折断的瞬间，影子机制的最后门开始咯吱作响。

---

上午十一点，秘书长办公室的“避免扩大化沟通会”如期召开。会议室里坐着秘书长办公室代表孟处员、集团办公室副主任、法务代表、纪检派驻代表、第三方许衡（旁听）、周砚与陆律。

孟处员开场仍旧一贯平稳：“目前公司已经采取很多措施，对外也有说明。现在关键是控制影响面。我们建议：对外只说‘个别员工越权’，内部处理从快，避免拖延引发更多舆论。调查范围建议适度收敛，不要无限扩展到各层级。”

副主任马上接话：“对。董事会成员现在情绪很大，他们要的是‘名字’。如果今天能给出名字，并宣布处理，就能稳住局面。”

“你们想要名字？”周砚看着他们，“我们今天确实能给名字。但名字不是用来止损的，是用来追责与修复的。你们的方案是把名字当作挡箭牌。”

孟处员微微皱眉：“你们的语言太激烈。组织里很多事情是复杂的。协调不等于指挥，效率不等于越权。你们把所有行为都解释成装置化控制，会导致恐慌。”

许衡这时开口，语气很专业：“我作为第三方，只说事实。我们在外部托管日志里发现同一token指纹在关键事件发生前触发多条关键流水线，涉及授信规则、通知路由、物业推送。该token来源指向集团办公室跳板机。此为技术事实，不是情绪判断。若组织希望控制恐慌，最佳方式是：公开边界、公开处置动作、公开第三方事实摘要，而不是用‘个别越权’替代事实。”

孟处员的脸色第一次真正变了。第三方把事实说出来，等于把“收敛调查”的话堵死。

副主任还想挽回：“第三方事实也可以服务止损。我们完全可以说：发现一名专员滥用token导致问题，我们已经吊销token、处理专员。这不是最稳妥的做法吗？”

陆律冷静反问：“token为什么能被专员持有？跳板机为什么在集团办公室楼层？授信规则为什么允许临时授权包降低审计为什么能跨工单、物业、短信推送短指令？这些都不是专员一个人能设计、能批准、能长期维持的。你们把责任压给专员，是典型献祭。”

副主任的嘴角抽了一下：“你们不就是想往上查吗？”

周砚说：“我们不是想往上查，我们是必须查到批准链。否则装置换人就复活。你们口口声声说稳定，真正的稳定是制度稳定，不是人事牺牲。”

孟处员沉默片刻，终于换了一种姿态：“那你们打算怎么向董事会交代？董事会现在要‘名字’，你们不给名字，董事会会逼停你们。”

周砚没有回避：“我们给名字，但给的是链条名字：触发者、授信者、协调者。我们不会只给一个专员。我们会给出三类责任：技术控制责任、流程审批责任、叙事操控责任。董事会要的不是一个替罪羊，是一个可防复发的答案。”

许衡点头：“这也符合第三方建议。单点责任无法防复发。”

会议最终形成一份编号纪要：确认不采用“个别越权快速结案”方案；确认第三方阶段性摘要将在当日提供给董事会与重组方；确认对ga-p-03跳板机、tkn-7f2a token链条进行深入追溯；确认任何对外口径不得定性、不得抹除第三方事实。

孟处员签字时手有一点僵。他签的不是字，是边界。边界一签，口头的门就关了一半。

---

下午一点，何祁被带入谈话室。

他看上去比所有人预想的都年轻，二十七八岁，眼神里有一种技术人常见的倔强与慌。他坐下的第一句话是：“我知道你们为什么找我。我不是主谋。”

“我们不问主谋。”周砚把第三方日志摘要放到他面前，“问事实：tkn-7f2a token是否由你持有？ga-p-03跳板机是否由你维护？相关流水线是否由你触发？”