第28章 触发源



08:58，茶水间的咖啡机刚完成第一轮萃取，蒸汽声在安静的楼层里显得格外清晰。

周砚没有把自己放进“等对方来找”的被动节奏里。他提前五分钟到，选了一个背对摄像头、但能看见走廊来人的位置。桌面只放着两样东西：一支笔、一张空白便签。没有打开电脑，没有翻资料——他要的不是“证据堆叠”，而是对方口中能被核验的字段：工单号、发起时间、请求人、审批链、触发端资产、服务账号调用记录。

09:10整，茶水间门被推开。一个身形偏瘦的男人走进来，工牌上写着“IT服务台  组长：陈屿”。他扫了一眼周砚，明显紧张，手指无意识地摩挲着杯子的纸套，像在给自己找一个抓手。

“你真要把我说的写成备忘？”陈屿开门见山，声音压得很低，“我不是不想说，但我怕……最后又变成我操作不规范。”

周砚点头，语气平稳得像在确认一份验收口径：“我会把你说的每一句话拆成字段。你只需要确认字段是否准确，不需要写情绪、也不需要推断动机。你确认后，我就按‘事实备忘’归档。你不确认，我也不会拿你的名字去做结论。”

陈屿喉结滚了一下，像终于找到一个可站的台阶：“行，那我就只讲我能确认的。”

周砚把便签往前推了一点：“先从最关键的开始。svc_rpa是谁能用？谁能触发？触发源在哪里？”

陈屿犹豫了一秒，还是开口：“svc_rpa是服务账号，用来跑一些自动化脚本——比如批量账号创建、定时巡检、WOL唤醒这种。按制度，svc_rpa应该只允许服务台和网络运维的两个人用，而且必须走工单授权。但……你也知道，制度是制度，现实是现实。”

“现实是什么？”周砚不催促，只把笔尖停在纸上，等他自己把话说完。

“现实是，有些部门领导嫌流程慢，会让我们临时开权限或者代跑脚本。”陈屿吸了一口气，“上周……也就是那天晚上之前，确实有人提过WOL唤醒的需求，说要在某台公用电脑上做‘系统维护预检’，要确认设备能被唤醒、能触发安全策略。”

周砚没有抬眼，笔尖在纸上写下四个字：需求话术。

“谁提的？”他问。

陈屿嘴唇发干：“请求是从‘王远宁助理  王XX’那边来的。她发了邮件给服务台公共邮箱，抄送了……阿远。”

空气像被冷水浇了一遍，茶水间里咖啡机的蒸汽声突然显得刺耳。

周砚没有做出任何表情变化，只问：“邮件时间？”

陈屿想了想：“18:40左右。具体我可以给你工单号，你去查系统会更准。”

“工单号。”周砚把笔尖停住。

陈屿报出一串编号：“INC-202X-0919-1736。标题写的是‘302会议室设备唤醒测试（紧急）’。请求人字段填的就是王XX，备注里写：‘领导要求当晚完成预检，影响项目直播，麻烦加急。’”

周砚在便签上写下工单号，旁边加了一个括号：标题/请求人/备注关键字。然后问：“审批链呢？谁同意你们用svc_rpa跑WOL？”

陈屿苦笑了一下：“这就是问题。制度上必须有网络安全组的授权，但那天王XX在工单里贴了一个‘领导已知悉’的截图——看起来像是阿远在IM里回了一个‘OK’。我们服务台那边的值班同事……就把它当成授权了。”

“值班同事是谁？”周砚问得依旧平静。

陈屿明显更紧张：“这个我不想点名。我可以给你值班表，你自己去核验。因为我不确定最后追责会不会落到他身上。”

周砚点头：“你给值班表字段，不给姓名。字段同样能核验。”

陈屿松了一口气：“行。那天18:30—20:30的值班是A组。A组里有一个人有权限调用svc_rpa的凭据库。按规范，调用凭据库会有记录……但我们一般不看那个记录，除非出事故。”

“事故已经发生了。”周砚把这句话说得很淡，却像一根钉子落下。

陈屿脸色微微发白：“对，所以我才说，我不想背锅。那天跑WOL的时候，值班同事告诉我：‘就跑一次唤醒测试，不会有什么后果。’但我后来看到你们那边说触发了账号保护模式，我才意识