第549章 漏洞报告背后的“灰审计”（2/2）

评估开始后，对方很快抛出“漏洞”：他们声称在FAQ接口里能通过参数枚举获取未公开的Release-ID条目，从而推测项目内部信息。

刘曼听得心跳加速：“真有？”

陈毅握着鼠标，强行压住火：“你们给出复现步骤。”

对方说了一串参数组合，像背稿子。陈毅照做——页面返回的是一条固定提示：

“该Release-ID条目未公开。请引用离线口径包或提交查询申请。”

“这不就是权限控制吗？”刘曼差点脱口而出。

评估人员不慌：“你们提示里泄露了条目存在与否。”

林远终于开口，语气平静：“存在与否本来就不应成为秘密。秘密应该是内容。你们所谓泄露，是把‘可追责坐标’当成隐私，这逻辑本身就不成立。更何况——你们说能枚举到‘未公开条目’，请问你们从哪里拿到枚举范围？Release-ID是带盐的哈希索引，不是顺序号。”

这一句问得很硬。

评估人员明显卡了一下：“我们……通过你们页面的历史缓存推断。”

林远点头：“那就按流程走。请提交你们推断依据：缓存来源、获取方式、时间戳。若来源非法，我们将作为线索移交。”

对方脸色彻底难看。

审计旁听官当场记录：“评估方未能提供复现步骤的合法来源说明，记为争议项，需补充材料，否则不采信。”

这一刻，所谓“漏洞报告”反而变成了他们的软肋。

可真正的杀招还没到。

中午十二点，副局长的秘书打来电话，声音压得很低：“林远，省里要开一个‘省版平台刻度’的前置沟通会。你们被点名参加。但有个条件……文件还没发下来，口头风声是——只邀请‘通过协会认证体系’的单位参与。”

刘曼听到“协会认证”四个字，整个人都僵了：“他们把门票抬到省版层面了？”

陈毅一拳砸在桌上：“这就是俘获！不是解释权，是平台入口！”

林远却慢慢把手里的笔放下，像终于等到对手露出底牌：“很好。”

他抬头看向审计旁听官：“请你帮我做一件事——把今天的评估争议项、对方无法说明来源的记录，写进旁听纪要补充件。我要带着这份补充件去省里的沟通会。”

旁听官点头：“你这是要当场掀桌？”

林远摇头：“不掀桌，我只问一句——如果省版平台入口要靠协会认证，那谁来审计协会？”

他顿了顿，补上最后一句，像把钩子钉进下一章：

“他们把门票卖到省里，那我们就把审计也带到省里——让‘门票’在光下碎掉。”

而手机屏幕上，省里沟通会的会议主题刚刚弹出：

《省版平台刻度试点：运营主体与解释权边界》。