中午十二点四十三分，指挥中心的打印机还在吐纸，一张接一张，全是刚导出的权限日志。顾轩没回主控台，而是转身推开东侧培训室的门。灯已经开了，六张长桌摆成回字形，投影仪连着笔记本，屏幕上还停在昨天那张未命名节点的灰点截图上。

他走过去，按了删除键。

画面一黑，又亮起新的标题：《异常行为识别与响应机制强化训练》。

没人说话。刚才散会时还有人去接水、有人低头看手机，现在全都坐直了。顾轩扫了一圈，老队员占一半，剩下的都是这半年从各局抽调上来的新面孔。他们熬过了七十二小时连轴转，眼下泛青，但眼神还算稳。

“先别记。”他说，“听清楚再动笔。”

他在白板上写下三个词：误判、漏判、迟判。

“我们抓到了人，封了账，U盘也抢回来了。”顾轩声音不高，像在念一份通报，“可就在昨天下午三点十七分，系统收到一条伪装成市政工程局巡检指令的访问请求——来源IP是假的，签名证书是盗用的，内容写得跟真的一样。”

他顿了顿，“当时值班的是谁？”

后排一个戴眼镜的年轻人举手，手指有点抖。

“你没拦住。”顾轩说，“不是因为你蠢，是因为你信了‘看起来正常’四个字。”

全场安静。

“这种事不会再有第二次。”他走到投影前，调出一段操作记录回放，“今天开始，所有非高峰时段的权限调用，必须双人确认。技术组已经做了新流程模块，待会儿装进终端。”

“顾队，”另一个年轻队员忍不住开口，“咱们现在不是已经全天候监控了吗？系统自己会报警啊。”

“系统不会思考。”顾轩打断他，“它只能按规则跑。可敌人会学，会改，会挑你松劲的时候动手。你以为安全了，其实漏洞就在你打盹那五分钟里被撬开。”

他环视一圈，“我问你们，如果下一次来的不是巡检指令，而是一条写着‘例行备份’的资金划转申请呢？金额不大，路径合规，审批链完整——你们还能认出来吗？”

没人答。

“所以今天这课，不是为了应付差事。”他说，“是为了让你们知道，咱们守的不是机器，是底线。”

这时门口传来脚步声，专家到了。五十岁上下，穿灰色夹克，提个旧皮包。他没自我介绍，直接打开电脑连上投影，开始讲“政务系统权限滥用模型”。

前十五分钟还好，后面越来越干。什么“多维向量分析”“行为熵值阈值”，听得人脑袋发胀。有人开始低头刷手机，有人靠在椅背上闭眼养神。

顾轩看了十分钟，站起身。

“老师，”他抬手示意暂停，“能不能跳过理论部分，直接说最近三个月全国范围内真实发生过的案例？”

专家愣了一下，“这个……我准备的是通用框架。”

“那就换个方式。”顾轩走过去，接过鼠标，“我来说个咱们自己遇到的。”

他调出一张审批单截图。“上周二晚上十一点，市建委有个二级账户发起了一份绿化改造项目的资金预支申请，金额四十七万，用途写的是‘应急采购苗木’。审批链上五个章全齐了，连财务主管的电子签都验得过去。”

底下有人抬头。