没有nonce绑定、没有attestation_hash、没有采集入口记录。

陈毅把系统回执退回去，语气冷得像模板：

“所提交媒体未通过发生签名（M1）校验，仅计为软媒体（M0），不计入硬工单证据令牌。请按RFC-022通过采集入口补齐发生签名，或提供监理日志/整改工单作为证据令牌替代。”

十分钟后，对方又来电话，这次语气明显变软：“我们可以补签名，但我们现场没网。”

陈毅直接回：“可以离线采集，24小时补链。补不上，还是M0。”

挂断电话后，刘曼有点担心：“他们会不会回去造‘发生签名’？比如找人拿你们入口随便拍几张。”

林远摇头：“随便拍也行，系统只认它发生过，不认它说明了什么。所以我们下一步会把M1与工单链条绑定：证据令牌必须挂在派单与到场之后。你拍得再真，没有派单没有到场，它也只是一张图。”

他顿了顿，又补一句更关键的结构补丁：

“证据不是单点，是序列。序列才难造。”

第一次“发生签名”救了真爆发

同一天晚上，清远那边又有一波渗水报修。因为上次S3通过，他们这次反而更按规矩走：派单、到场、采集入口、发生签名、整改工单、复测绑定，全链条跑起来。

第二天一早，系统里那条差值曲线很漂亮：工单涨，派单涨，到场涨，M1证据令牌也涨。

银行何经理在群里发了一句很简单的话：“这套链条越跑越顺，我们越敢把它当条件。”

林远看着这句“敢”，心里很清楚：制度的目标不是让所有人服从，而是让外部约束方——银行、审计、监管——敢把它写进规则。

对手的下一招：用“入口故障”制造后门

下午，陈毅收到数科运维一条告警：采集入口在某个区县出现短时不可用，错误率飙升。紧接着匿名入口就来了一条线索：有人在群里说——

“你看你们的入口又崩了，还是找我们顾问吧，我们有办法出M1。”

林远看到这句话，眼神一下冷下来。

这不是技术故障那么简单。

这是典型的“先制造不便，再卖便利”。当制度越来越严，最值钱的门票不再是编号，而是“让你过得去”。

他没让陈毅先去追“谁说的”，而是先问数科安全负责人：“入口故障有没有排期指纹？有没有incident_id？有没有故障报告？”

数科那边支支吾吾，说是“短时抖动”。

“抖动可以。”林远说，“但抖动必须有编号、有公开故障报告、有恢复时间。否则抖动就是后门。”

他在白板上写下下一章的任务单，像把“入口”也纳入治理OS：

入口故障公开化（incident周报）

离线发生包配额与统计

故障期间M1补签规则

卖‘出M1’=风险干扰源

“下一章，我们不争入口有没有抖动。”林远说，“我们把抖动写进制度：故障就公开、补签就按规则、谁卖便利谁扣分。”

他停了一下，声音更低，但更硬：

“如果有人靠让系统不好用来赚钱，那他就不是服务商，是俘获者。”