清晨七点四十三分,服务台前的队伍像一条被反复拉直的线,慢慢往前挪。线仍慢,却不像几周前那种“被拖住”的烦躁;它更像一种被共同承认的秩序:你站在这里,就不用担心被人顺走信息,也不用担心被人用一句“我认识”带去旁边。
入口牌旁,“无后门,不插队”依旧醒目;旁边那张更短的触发器纸条像一个小小的锚:
**提示单不含任何联系方式**
内侧玻璃下缘,模板指导的提示牌还在,低调得必须走到柜台前才看得见。志愿者站在内侧,讲结构三句,语气轻,动作稳。陪同解释编号化后,外侧的情绪更少被点燃;灰名单触发器落地后,外侧的“入口物”更难长时间停留。
可周工站在信息科的显示墙前,眼睛盯着另一条变化:灰名单触发越多,院外暗纹越细——不再是“二维码”“名片”“小册子”那种明显入口,而是更像“合规文件”的影子。对手在失去粗糙入口后,开始学会“看起来更像规则”。
“灰名单挡住了多数入口。”周工说,“他们会把入口伪装成‘合规通过’。”
纪检联络员把行动单翻到新的一页,页眉写下五个字:**白名单的门槛**。她写下第一句判断:
**当灰名单变硬,对手会伪造白名单。**
护士长推门进来,手里拿着一张纸,脸色很平,却比平时更紧:“有人在队伍里发‘项目编号清单’,说这就是白名单。上面写着几组编号,还写‘核验可通过’。”
罗工抬头,眼神立刻冷了半分:“他们开始伪造编号体系。”
纪检联络员没有惊讶,她像早就等这一刻。她问的不是“谁发的”,而是:“纸上有没有二维码?有没有联系方式?”
护士长点头:“有一个公众号名,还有一行小字‘查询编号真伪’。”
“入口。”纪检联络员说,“灰名单直接触发。”
可她没有就此结束。她把那张纸放在桌上,指尖按住纸角,像按住一个更大的风险点:
“对手聪明的地方在于——他不再让你扫一个陌生码,他让你相信‘编号是安全的’,然后把你的注意力从动作转移到‘看编号像不像真的’。只要你开始比对编号,他就成功把你拉进了真假识别游戏。”
周工点头:“真假识别费脑,费脑就会疲劳,疲劳就会求捷径。”
罗工补了一句:“而且编号一旦被伪造得足够像,群众会在没有核验的情况下自信地传播——‘这个编号是对的’。传播一发生,伪白名单就会自繁殖。”
纪检联络员把笔尖敲了敲行动单,写下一条更硬的原则:
**白名单不是号码表,是核验动作。**
系统提示在林昼视野边缘亮起:
【新威胁:伪白名单(编号清单/编号鉴真入口)】
【关键:白名单=可核验动作(存在/不存在),不看样子不比对】
【对策:白名单公开化但不可复制(位置+物理标识+最小返回)】
林昼站在走廊里,忽然想到父亲说的“旧钥匙”。编号就是钥匙形状,核验才是锁芯。对手现在在卖“钥匙形状”,让群众以为拿到形状就能开门。真正要守的,是锁芯仍在内侧,仍要登记,仍要最小返回。
---
###1)伪白名单的第一波:他们不在院外发,而是在队伍里“互助分享”
上午九点半,队伍中段出现一阵小范围的低语。几个家属围在一起看手机,一个人说:“我有白名单编号,能过核验。”另一个说:“那你发我,我怕被外面骗。”
这场景很像互助,却极危险。互助是人情,白名单是秩序;当白名单变成互助分享的资源,秩序就被人情吞掉。对手甚至不需要出现,他只要把伪编号清单投进一个群,群众会自己完成传播。
护士长没有冲进去夺手机。她学会了“温和剪法”。她走到几人旁边,轻轻放下一张提醒单,仍然不带任何联系方式,然后说一句短句:
“编号不分享。核验只在柜台内侧。”
有人抬头:“我们只是互相提醒——”
护士长笑了一下:“提醒可以,别传编号。编号传出去就成入口了。”
“入口”两个字说得很轻,却足够让人停顿。有人把手机收回去,嘟囔一句“也是,万一被人拿去用”。另一个人问:“那白名单到底是什么?”
护士长仍不讲长解释,只用“一句解释”:
“白名单就是在这里核验能通过,不在手机里比对能通过。”
这句话把“白名单”重新定义为动作,而不是文本。动作不可复制,文本可复制。对手卖的是文本,医院守的是动作。
几分钟后,那阵低语散了。传播没有继续扩大,但护士长知道,对手不会只投一次。他们会换更像“官方”的方式,让你相信这份清单不是互助分享,而是制度文件。
---
###2)伪白名单的第二波:他们伪造“公告编号”,试图穿过门牌系统
中午十二点四十,信息科邮件网关拦截到一封标题更规整的邮件:
**关于项目编号白名单公示的补充说明(公告编号:QH-2026-031)**
邮件内容写得像内部制度:列出几组“项目编号”,说明这些编号对应“模板指导”“陪同解释”“满意度回访”等服务,并要求各科室“主动引导群众扫码查询编号真伪”。邮件末尾还附了一个链接,声称是“编号查询入口”。
罗工看到“扫码查询”四个字,眼神立刻冷下来:“入口又来了。”
但更危险的是“公告编号”。对手开始伪造公告编号,试图突破“公告编号可校验”的门牌。只要有人在心理上认可“这是公告”,就可能在还没校验之前转发,形成扩散。
纪检联络员没有把邮件截图发群,她做了两个动作:
第一,用编号校验工具验证该公告编号,结果返回:**不存在**。
第二,发布一条极短内部提醒,标题只有六个字:
**公告先验编号**
内容更短:
*公告编号校验不存在:一律视为伪
*不转发截图,不点链接
*有疑问到信息科当面核验
“当面核验”把解释权关回内侧。对手最喜欢让你在群里转发截图、在评论区讨论真假。讨论一开始,他就获得舞台。舞台一有,灰就变成雾。
周工看完处理,点头:“他们想伪造白名单,先得伪造公告编号。公告编号就是白名单的门牌。门牌校验不存在,就结束。”
罗工补了一句:“我们要进一步让‘公告编号校验’成为肌肉记忆。看到编号先查存在,不看内容、不看排版。”
“对。”纪检联络员说,“不看内容,是为了不被内容带走。”
---
###3)他们开始伪造“存在”:撞库式试探编号校验的边界
下午两点,编号校验工具日志出现异常:短时间内出现大量编号校验请求,且请求的编号格式高度相似,只差最后两位。像在撞库。
“他们在猜我们的编号规则。”罗工说,“想找出一个能返回‘存在’的编号,然后用它当伪白名单种子。”
周工皱眉:“工具不是只在白名单终端吗?”
“是。”罗工点头,“但内部有人在代查。或者某个终端被误用成‘查询台’。对手无法直接进来,但他能用电话、用人情,让工作人员替他撞。”
这就是“慢故障”与“刮边缘”的延伸:逼疲劳、逼通融、逼代查。只要有人在电话里说“你帮我查一下编号在不在”,你一查,就进入对手节奏;你查多了,就在帮对手推断规则。
纪检联络员立刻下发一条更硬的门牌规则,仍然短:
**编号不代查,只当面核验。**
并把编号校验工具加了一个“节流门槛”:同一终端连续校验次数超过阈值,会自动锁定并弹出提示——“疑似撞号,需双人解锁并登记原因编号”。登记原因编号这一步极关键:它把“代查冲动”变成“可被追溯的麻烦”。麻烦一大,人就不愿意替别人撞。
“让系统替人承担拒绝。”周工说。
纪检联络员点头:“对。拒绝要外包给流程,不要外包给情绪。”
罗工也把“撞号”这类请求模式加入安全监测模型,一旦出现,就自动提醒服务台:“请勿代查,按当面核验流程处理。”提醒不长,像护栏。
---
###4)白名单的真正形态:不是清单,是“可见的唯一性标识”
纪检联络员意识到一个问题:灰名单靠触发器阻断入口,白名单如果一直停留在“编号存在/不存在”,群众会觉得抽象,容易被伪清单迷惑。要让群众更容易理解“白名单是什么”,就需要一个“可见且不可复制”的标识,像内侧门牌那样。
她提出一个方案:在服务台柜台内侧,增加一个很小的“白名单标识牌”,牌上不写任何编号,不写任何入口,只写一句话: