“但它有问题。”顾轩指着时间戳，“第一，项目根本没立项；第二，签字的人当晚在外地开会，手机关机八小时；第三——也是最关键的——这笔钱申请后两分钟，就有人从境外IP登录查看流转进度。”

他回头看着众人，“这不是系统问题，是人的问题。审批流程走完了，没人多问一句‘为什么偏偏这时候要买树苗’？”

会议室重新安静下来。

“真正的风险从来不是藏在代码里的。”顾轩把电脑合上，“而是藏在你觉得‘差不多就行’的那个念头里。”

专家没再说什么，默默收起了PPT。接下来的时间，改成了问答互动。顾轩带着大家一条条拆解近期拦截的可疑操作：伪造红头文件编号、冒用领导口令登录内网、利用节假日系统维护窗口植入虚假数据包……

越说到后面，提问的人越多。

一个老队员举手：“我们这边一直用手动台账核对关键节点，但现在数据量太大，一个人盯不过来。”

“那就搭小组。”顾轩立刻接话，“新老搭配，一人负责技术路径追踪，一人专盯人为决策链条。发现问题先不通气，各自写判断依据，最后交叉比对。”

“这不就是双核查？”有人笑。

“对，就叫‘风险响应双核查机制’。”顾轩拿起笔，在白板上写下这十个字，“从今天起，纳入日常考核。每月抽查十次模拟攻击，谁漏判，谁补训。”

气氛变了。

不再是被动听课，而是真正在想办法。有人掏出本子记要点，有人当场就开始画分工草图。两个年轻队员凑在一起讨论怎么设置关键词预警更精准，一个老同志翻出前两天的操作日志，对照着重新梳理流程。

小主，

顾轩站在一侧，没再说话。

直到下午三点，他拍了拍手：“分组讨论，每组复盘一次你们参与过的成功拦截事件。重点不是结果，是过程——你是怎么发现不对劲的？哪个细节让你起了疑？别怕啰嗦，越细越好。”

六张桌子立刻动了起来。

顾轩挨组走，听他们说。有的提到某次转账备注用了非常规缩写，有的发现审批人笔迹和备案样本不符，还有一个小伙子说，他就是觉得“那天早上太安静了，没人打电话催进度，反而让人心里发毛”。

“对，就是这种感觉。”顾轩点头，“机器可以算概率，但人能闻味道。官僚体系里做事，有些东西写不进规则，但它确实存在。”

四点半，汇总开始。

顾轩把各组提出来的共性问题列在白板上：节假日高危期缺乏专项布防、跨部门协作信息滞后、新人过度依赖自动提醒导致反应迟钝……

“这些问题，我们现在解决不了全部。”他说，“但可以从最简单的做起——每个人每天交接班前，必须向搭档通报三条潜在风险点。不许说‘没什么异常’，哪怕编也得编三条。”

有人笑了，但都记下了。

最后，技术组播放了一段模拟推演视频。画面显示，一个伪装成后勤采购的指令被放行，触发连锁反应：先是小额资金转移测试，接着权限逐步升级，七十二小时后，核心数据库被远程清空，所有备份失效。

全程不到五分钟。