银行何经理在群里回得很干脆：“incident_id是关键。没有编号的故障，银行侧就会把整条链当不稳定输入。”

审计联络也补了一句：“故障公开+补签规则，才能避免‘事后补证’被卖成服务。”

卖便利怎么判？不抓嘴，抓行为

咨询总监又来了——这次他不谈“监控”，谈“服务”：

“林总，有些顾问说‘我们能帮出M1’，也许只是他们熟练流程，并不是插队或造假。你们一刀切判干扰，会不会误伤正常服务市场？”

林远没急着反驳。他只问了一句：“他们‘出M1’靠什么？靠教客户按RFC-022走流程，还是靠绕过流程？”

“当然是教流程。”咨询总监答得很快。

“那就让他把话术改掉。”林远说，“正常服务叫‘教你按流程做’，不叫‘我们能出M1’。‘能出’暗示的是：你不按流程也能出。我们判的不是嘴，是行为——如果出现大量M1集中在故障窗后补签、且来自同一服务商协作席，就不是熟练，是套利。”

陈毅把“便利套利”的判定模型投到屏幕上，像又一套反表演指标：

便利套利信号（Convenience Arbitrage）

同一服务商协作席在短时间内提交大量“补签M1”，且集中绑定同一个incident_id

补签的M1与派单/到场链条缺失（仅有媒体签名，没有工单序列）

离线发生包使用率异常高，且集中在非真实信号差区域

故障窗口外仍大量走“离线→补签”路径（把补签当常态）

“你教流程，不会出现这种聚类。”陈毅说，“出现这种聚类，就说明有人把‘故障窗口’当作后门窗口。”

咨询总监脸色明显不太好看，但也说不出反驳——因为这是行为判定，不是意图猜测。

第一例：把“出M1”拆成“卖故障窗口”

规则上线后的第三天，系统捕捉到一个很典型的聚类：某服务商协作席在24小时内提交了32条补签M1，全部绑定同一个incident_id，且这些M1几乎都没有派单/到场令牌，只是“照片签名”。

陈毅把聚类报告提交，编号：CA-CLUSTER-001。

处理动作按OPS-EVID-01自动触发：

1）该批M1证据令牌降级为“待核验”，不计入硬工单阈值

2）对对应项目触发“序列缺失”抽查复测加密

3）冻结该服务商协作席（7天），要求整改说明

4）在周报统计中公开“补签集中度异常”（只到机构级别哈希，不点名）

本小章还未完，请点击下一页继续阅读后面精彩内容！

城投那边果然炸锅：“你们怎么又冻结服务商？我们项目进度怎么办？”

林远没有让他们在情绪里打转，他只给路径：