第473章 热修通道与“优先权陷阱”（2/2）

任何宣称“内部通道/提前补丁”的行为，纳入风险干扰源线索池

公告很短，但它给基层一个可引用的“挡箭牌”。

城市负责人再被吓，就可以甩出这条编号化声明，而不是在群里解释半天。

三、热修夜：先修复，再防门票

凌晨一点，数科安全把补丁制品打包完成。制品库页面上出现了一串清晰的东西：

vuln_id：VULN-ING-2020（内部编号，不含细节）

影响范围：入口采集链路（可能导致崩溃与错误码污染），不涉及个人数据泄露

修复制品：hotfix-1.0.3

制品哈希：****（公开）

签名链版本：SIG-2

同时，Hotfix开始跑。

这套测试只看关键路径：nonce获取、发生签名摘要结构、错误码上报、离线补签绑定i_id等。它不需要跑完整的月度套件，但足够证明：补丁不会把证据链跑歪。

早上七点，结果出来：目录里11家入口实现，9家通过，2家警告（原因都是“版本声明未更新/变更单链接缺失”），没有失败。

陈毅把截图发群里，只有一句：“热修通过率公开，按结果走。”

最让人意外的是：那家卖“目录托管年费”的团队，依旧是警告。

他们并不是做不到修复，而是不愿意把“变更单链接”公开——公开了就没法卖“内部更新”。

城市群里有人忍不住说：“你看，他们最怕的不是漏洞，是公开。”

四、真正的战斗：谁来背“风险解释”这口锅

热修机制跑起来后，新的矛盾就来了：解释风险。

某新加入试点的城市领导电话打到信息处：“你们说不涉及数据泄露，那为什么要紧急？是不是你们之前隐瞒？我们要一个能对外说的话。”

这才是现实里最难的部分：不是修复补丁，而是把技术风险翻译成可被公众理解、可被金融采信、可被审计追责的语言。

林远让解释席轮值小组直接出了一页“风险解释单”，编号化，像FAQ一样：

风险是什么：输入构造可能导致入口崩溃/错误码污染

为什么紧急：入口崩溃会触发离线发生包激增，增加后门风险；错误码污染会影响可观测性与审计判定

为什么不公开细节：避免被快速武器化

我们如何证明修复有效：Hotfix结果公开；72小时过渡期；目录标记规则公开

对城市意味着什么：按日历窗口升级；过渡期内不会被下架；升级后错误率应下降（周报可见）

银行IT旁听看完后说：“这张解释单我们能直接放到风控档案里。”

审计旁听补：“编号化解释单能入审计底稿。”

林远点头——这就是热修真正进入制度的瞬间：不靠“信我”，靠“编号与可复核”。

五、制度固化：热修进入省版“刻度”

当天中午，副处长联络员把SEC-HOTFIX-01入库，成为省版平台刻度的一部分，新增字段：

vuln_id（公开）

hotfix_artifact_hash（公开）

hotfix__result（公开）

grace_period_end（公开）

“以后谁想用热修卖优先，就得先解释：为什么你能提前拿到公开制品。”林远说，“解释不通，就只能露馅。”

钩子：他们会开始“制造安全恐慌”

热修机制压住了“提前补丁”的门票，但林远知道下一招更阴：

既然不能卖补丁，就卖恐慌——把任何小故障都包装成“安全问题”，逼城市花钱买“安全托管”。

陈毅晚上发来一条新线索：某顾问开始推“安全巡检套餐”，话术是：

“你们入口随时可能被攻击，不买我们服务会出大事故。”

林远看完，没笑也没骂，只在白板上写下下一章的方向：

安全分级与误报惩罚

恐慌营销纳入干扰源

把安全变成公共指标，不变成生意

他放下笔，轻声说：“热修通道堵住了，下一步要堵住‘恐慌通道’。”