入口故障公开化以后，最直观的变化是——没人再敢明目张胆说“我们能出M1”。

但门票从来不会消失，它只会换成更“技术”的词。

数科副总那句“统一由我们提供SDK”在群里发出来时，很多城市第一反应居然是支持：“统一好啊，省得各自折腾。”

这就是俘获最危险的地方：它常常披着“标准化”和“省事”的外衣。

林远没急着反对。他知道如果他直接说“不行”，就会被贴上“阻碍效率”的标签。

他要做的是把问题翻译成所有人都能理解的一句话：

“统一SDK没问题，但标准不能私有化。否则你就把入口变成收费站：谁符合你SDK版本，谁能更容易产出M1；谁不符合，就被卡在兼容性上。兼容性就是新门票。”

他在白板上写下四个词，像把“入口”从工具拉回公共设施：

开放规范

可替换实现

兼容性可审计

解释权不可私有

1）入口不再是“产品”，而是“规范”

省信息处牵头成立了一个小小的“入口规范编制组”，名字很行政：《采集入口开放规范（ING-STD）编制组》。成员不多：信息处两人、数科安全一人、两家试点城市的技术代表、银行IT旁听、审计旁听。协会与咨询公司仍然只能旁听。

林远把规范分成三层，开场就把边界钉死：

规范（Spec）是公共的：任何人都能实现

实现（Impl）可以多家：数科可以做，城市也可以做，第三方也可以做

验收（Conformance Test）是公开的：通过测试才算M1入口

“我们不是要反对数科做SDK。”林远说，“我们是要保证：数科做的SDK只是‘其中一种实现’，不是‘唯一入口’。”

数科副总立刻皱眉：“多家实现会带来碎片化，运维成本会爆炸。”

林远点头：“所以我们需要兼容性测试套件，用套件来控碎片，而不是用垄断来控碎片。”

2）ING-STD-01：规范写到“字节级”的那种公开

陈毅把规范草案投出来，编号：ING-STD-01（草案）。内容不像文案，更像接口文档，细到让人没法耍滑。

规范包含五块：

A. 挑战码与签名流程

nonce获取接口（输入project_id、ticket_id；输出nonce、有效期、nonce_hash）

发生签名摘要结构（字段顺序、哈希算法、盐值管理方式）

签名请求格式（只传摘要，不传原图）

签名回包（attestation_hash、签名链版本号）

B. 设备与位置的隐私边界

设备指纹桶允许字段：OS大类、机型段、采集入口版本号（禁止IMEI/手机号/精确GPS）