第五十三章：幽灵签名（1 / 5）



凌晨零点四十一，接收医院行政楼的会议室像被临时改造成了战情室。

窗帘拉死，投影幕布上分成四块：平台侧安全面板、医院侧签名队列、外部链路延迟曲线、取证进度清单。每一块都在滚动，像四条不同速度的河流，汇在同一处暗涌里。

林昼坐在靠门的位置，背后是走廊里断断续续的脚步声——夜班护士推车经过，保安交接班，值班医生在电话里压低声音。医院的夜一直很忙，只是忙的对象变了：以前忙的是病人，现在忙的是规则。

信息安全负责人把硬件令牌放在桌上，令牌外壳磨得发亮，像一枚被长期握住的旧钥匙。他没看林昼，盯着屏幕上的红色提示：“GhostSigner  又来了。”

屏幕右上角弹出告警条：

【**险请求挂起】

类型：

提交方：GhostSigner（未知主体）

来源：海外公共出口（Cloud  egress）

状态：等待第二签名

风险评分：96/100

已自动拒绝：0（原因：待签名）

“待签名”三个字最危险。

待签名不是成功，也不是失败，它像一个陷阱：一旦有人误以为这是正常审批，点下签名，就等于把门闩自己拔掉。

监管联络人从手机里抬起头：“网安那边给了建议，挂起队列必须做到两件事：第一，任何挂起请求一律不在移动端展示，避免误触；第二，挂起请求必须附带‘双人复核记录’，一人看字段，一人看报文样本。”

信息安全负责人点头：“已做。移动端签名通道已关闭，只有两台固定工作站能签，且必须插硬件令牌。”

周负责人也在线，视频窗口里他背后是取证室，桌上铺满了封存介质。他的声音从音箱里出来，依旧平稳：“把GhostSigner  的报文样本固化了吗？”

平台协查联系人立即回：“已固化。我们截取了请求头、payload  的哈希、TLS  指纹摘要、以及平台内部解析后的字段映射。还包括同源IP在过去三小时内的重试节奏图。”

“重试节奏图”投上屏幕后，林昼第一眼就看出不对劲。

那不是随机的重试，更像人为编排的节拍：每  57  秒一次小幅试探，每  5  分钟一次高峰洪峰，洪峰时连发  12  次挂起请求，像在压测某个阈值。

信息安全负责人低声骂了一句：“这不是残留任务，这是手工跑的。”

监管联络人语气更冷：“手工跑的，意味着有人在操控。”

林昼没有接话。他只盯着那个节拍，脑子里浮现出同一个场景：有人坐在某台机器前，盯着同样的红点，等着某个疲劳的签名者犯错。只要错一次，控制权就可能被换走，而换走控制权之后，所有冻结与门闩都会变成摆设。

摆设，是他们最想要的状态。

---

零点五十五，平台协查联系人把“报文样本摘要”发到共享屏幕上。

请求头里有一行极刺眼：

User-Agent：GhostSigner/  (linux;  x64)

X-Client-Tag：jenkins-agent

X-Trace-Hint：RouteGuardian

“jenkins-agent”。

林昼的心口像被轻轻戳了一下。这三个字把所有人拉回到白天封存的CI/CD：Jenkins  Agent  Pool  A/B，HIGH_SCOPE_TOKEN，AUDIT_REF_OPTIONAL。现在，幽灵签名的请求头里竟然带着“jenkins-agent”的标签，像一枚刻意留下的指纹。

网安技术支撑人员在视频里开口，声音不高但每个字都很硬：“这个标签可能是伪造的，也可能是复用某个现有脚本。我们看  TLS  指纹。”

平台协查联系人切换到下一页：TLS  指纹摘要（JA3）与握手特征。

网安人员迅速扫了一眼，问：“有没有对比样本？比如你们从供应商运维网段出来的请求指纹。”

平台协查联系人说：“有，我们做了比对。GhostSign