凌晨三点五十五分，打印机还在响。

　　那张冷却报告静静躺在桌角，时间戳是03:53。异常出现在03:54。差了一分钟，但系统已经动了。

　　我坐在第二监控区的终端前，手指转着钢笔。屏幕冷光打在镜片上，反着白。

　　刚才那段心跳包数据被重新调出。48字节，Base64编码，解码后是“OK#7”。这不是对话，是确认。有人收到了信号，回复了状态。

　　我打开日志分析界面，输入命令：

　　`//log–session–terminal=B3-LZ-03–time=03:52:00–03:53:00`

　　系统开始回溯B区第三工位终端在过去两分钟内的全部活动记录。

　　页面滚动。一条打印请求跳出来，时间03:52:38。来源IP正确，设备认证通过，操作类型为“用户手动触发”。

　　但没有后续动作。没有页面加载，没有文件读取，没有鼠标移动轨迹。就像有人按下一个按钮，然后立刻消失。

　　这是脚本调用。不是人做的。

　　我把这段会话缓存导出，切换到网络层日志。比对同一时间点的DNS查询记录。

　　发现一个异常域名：`cdn-nova-apac[.]net`。查询时间03:52:41，协议UDP，响应数据长度48字节。

　　和心跳包一样大。

　　我追踪这个域名的注册信息。显示已注销，服务器位于东南亚某国，曾是CDN服务商，半年前关停。但现在还有流量进出。

　　它成了跳板。

　　我把“OK#7”和这次DNS请求做关联分析，生成通信路径图。信号从内网终端发出，经本地DNS解析器转向境外中继，最终接入一个加密频率组。

　　这个频率组有编号。标记为“Q-7”，属于七国联合间谍网常用的中继通道之一。

　　匹配上了。

　　有人用李哲的账户，在内网制造了一个合法假象。修改参数，触发虚假检测，再通过隐蔽信道向外发送完成确认。

　　整套流程干净，不留攻击痕迹。

　　我调出人事档案，筛选近三日未到岗但账户活跃的技术人员。名单里只有一个人：李哲。

　　入职两周，材料模拟组新人，提交过一次测试代码。那天他请了假，母亲被一辆无牌车接走。

　　我打开他的代码库，找到那份测试脚本。翻到第147行，一段函数引起注意。

　　函数名为`calibrate_success_rate()`，功能是调整实验成功率赋值。默认值写死为0.87，注释写着“临时调试用，上线前删除”。

　　但它没删。

　　而且这个函数的调用方式很奇怪。不接受变量输入，直接返回固定数值。和现在篡改模型的手法一致。

　　新手才会这么写。

　　我继续查他的行为数据。过去72小时，账户登录五次。第一次在昨晚21:17，IP经过三层跳转，终点在东南亚那个数据中心。会话持续八秒，只发了一个心跳包。

　　他在测试通道。

　　第二次登录在今天凌晨03:52:35，正好是参数修改前三秒。设备ID显示为未知移动终端，绑定的是李哲的账号。

　　他没来上班，但账号在工作。

　　这说明什么？说明他的身份已经被远程接管。要么密码泄露，要么设备被植入程序。

　　我构建沙箱环境，复现整个攻击路径。

　　第一步：李哲在提交代码时，埋入带漏洞的函数模块。审核通过，进入系统。

　　第二步：外部利用其账户权限，远程激活该模块，修改核心配置。

　　第三步：篡改完成后，发送确认信号，反馈任务状态。

　　四步模型跑通。系统标记威胁等级：高危。命名：“预设型内生威胁”。

　　这不是一次入侵。是一次长期渗透。

　　我盯着屏幕上那个名字。李哲。25岁，南方人，独生子，母亲患糖尿病多年。

　　他们抓了他软肋。

　　这种人不会主动背叛。但他会被逼着动手。一边是家人安全，一边是项目崩溃。他只能选一个。

　　可他在代码里留了痕迹。那个没删的函数，那个写死的数值，像是在求救。

　　如果完全服从，应该把所有痕迹抹干净。他没有。

　　说明他还想被发现。

　　我把这些线索整合起来，建立数字人格模型。输入语言模式、操作习惯、心理测评数据。

　　系统输出三个关键词：服从、压抑、渴望认可。

　　他是那种从小听话的孩子。成绩好，守规矩，不敢反抗权威。但内心希望被人看见，希望自己的工作有价值。

　　现在他被迫做了错事。但他不想让事情彻底失控。

　　所以他会犯一个小错。留下一点线索。等着别人来找他。

　　这不是背叛。是挣扎。

　　我关掉人格模型窗口，新建一个诱饵日志。

　　文件名：`migration_plan_core_v1.log`

　　内容：关于核心算法迁移至新服务器的初步安排，包含时间表、权限变更、旧系统销毁流程。

　　安全等级：绝密。仅限高级管理员查看。

　　但我故意把部分路径信息泄露到低安全区的日志缓存里。比如一条错误提示：“无法连接至 backup-server-07”。

　　backup-server-07是假的。但看起来像真的。

　　如果李哲还关心这个系统，如果他还想知道发生了什么，他一定会查。

　　只要他登录，只要他点击查看，就会留下新的痕迹。

　　我不需要马上抓他。我只需要让他知道——有人在找他。有人看懂了他的信号。

　　我按下部署键。诱饵日志上线。

　　就在这时，主监控画面一闪。

　　一个模糊人影出现在追踪界面上。没有五官，没有轮廓，只是一个剪影。嘴部开合，播放一段语音：

　　“你们找不到我。”

　　声音经过处理，听不出性别。但语速偏快，尾音轻微上扬。是紧张的人在强装镇定。

　　我把音频转成文字，拆解句子结构。“你们”是对象，“找”是动作，“不到”是否定结果，“我”是主体。

　　语法简单，但强调“我”的存在感。明明在躲，却要说“你们找不到我”。这是一种心理暴露。

　　真正自信的隐藏者不会说话。只有心虚的人才需要宣告自己不可见。

　　这个人知道我们正在追查。他害怕了。所以他要干扰我们，让我们以为他很强，让我们停下。

　　但他暴露了情绪。

　　我关闭音频输出，只保留文字记录。把这句话放进行为分析模型。

　　结果跳出一行判断：发言者处于“执行压力下”，有“寻求控制感”的强烈需求。典型特征——被操控者试图反向掌握局势。

　　和李哲的心理画像吻合。

　　我起身倒了杯水。喝了一口，放下杯子。

　　笔还在指间转着。蓝黑色钢笔，笔帽刻着“破局”二字。

　　我看回屏幕。虚拟人影已经消失。但我知道它还会回来。

　　他们不会只派一个人盯着。背后有团队，有资金，有查尔斯的支持。

　　清除李哲容易。但只要资金链不断，他们马上会换下一个目标。

　　我必须等。等他们再次行动，等他们露出更多破绽。

　　我打开一个新的窗口，调出财务流水分析模块。搜索最近三个月与李哲有关的资金流动。

　　没有直接转账。没有可疑收入。但他母亲的医疗账户，在上周收到一笔境外汇款。来源是开曼一家匿名信托基金。

　　金额刚好覆盖手术费用。

　　付款时间，是他提交代码的第二天。

　　我记下这笔交易编号，标记为“关联证据A”。

　　然后我回到诱饵日志界面，检查访问权限设置。

　　一切正常。

　　我坐回去，手指轻敲桌面。一下，一下，保持节奏。

　　屏幕上，地球模型缓缓转动。光点流动如常。只有那个红框还在跳动。

　　倒计时变了。

　　301→ 298→ 305

　　没人碰它。但它自己在变。

　　说明后台还有指令在生效。修改没有停止。只是从一次性篡改，变成了持续微调。

　　他们在测试我们的反应速度。

　　我盯着那串数字。

　　心跳平稳。

　　呼吸平稳。

　　手稳。

　　我打开命令行，输入：

　　`//watch–file=/core/model_v4.cfg–alert=modify`

　　开启实时监控。一旦核心文件再被改动，警报立刻响起。

　　我转头看向墙上的时钟。

　　04:12。

　　天还没亮。

　　我把钢笔轻轻放在桌上。笔尖朝前，像一把出鞘的刀。

　　屏幕突然闪了一下。

　　诱饵日志的访问日志更新了。

　　一条新记录跳出来：

　　【IP：10.3.7.142】

　　【账户：LZ_20240411】

　　【操作：读取 migration_plan_core_v1.log】

　　【时间：04:12:33】

　　我点开详情。

　　IP地址属于内网B区。设备名称：临时笔记本-03。

　　这是李哲登记的备用设备。他从来没用过。

　　但现在它在线了。

　　账户登录时间是04:12:30。三秒后，文件被打开。

　　他来了。

　　我盯着那条记录。

　　没有动。

　　没有追踪。

　　没有封锁。

　　我只是看着。

　　然后我慢慢抬起手，把钢笔重新拿了起来。

　　笔帽轻响一声，扣紧。