病毒事件的技术调查报告在三月下旬正式发布。报告全文很长,附录里密密麻麻排满了技术分析数据,但核心结论只有几条:病毒利用的是神经接口标准化反馈回路协议的固有漏洞,该漏洞在多年前制定行业标准时已被一名安全顾问提出,但在当时被标注为“低风险”而搁置;病毒代码由锐思科技内部AI辅助安全测试系统生成,在设计者设定的终止条件因旧版固件兼容问题失效后扩散;事件暴露出神经接口行业在安全协议设计中的系统性缺陷。报告没有点名任何安全公司,但用了一段极含蓄的措辞,说部分企业在事件发生后迅速推出了有效防护产品,其技术储备的充分程度“值得行业借鉴”。
锐思科技的CEO在报告发布第三天宣布引咎辞职。程瀚被正式批捕,罪名是“过失以危险方法危害公共安全”。他的代理律师在法院门口被几个科技记者拦住,只说了几句话:程瀚对自己的行为深感悔恨,但他当时确实认为模拟环境中的终止条件是有效的——他犯的是认知错误,不是主观恶意。他愿意承担法律责任。希望行业能从这次事件中吸取教训,而不是只找一个替罪羊。
周明远在星核科技工位上读到这篇报道时,手指在触控板上停了一下。他想起自己在瑞联签手术同意书之前的那些晚上——他也以为自己把所有的风险都算清楚了。他翻遍了所有能翻的技术白皮书,查到了所有能查到的排异反应发生率数据,在知情同意书的每一页都做了标记。但他后来才知道,那套数据是经过统计口径调整的,真实的排异反应发生率比官方数据高出好几倍。他不认识程瀚,但他认识那种“我以为自己算清楚了”的感觉。这种感觉不会因为换了角色——从签字人变成审查者——就自动消失。它只是从一种形态变成了另一种形态。
信息安全中心在调查中发现,几款在病毒事件后迅速上市的安全产品,其底层架构确实含有与病毒传播机制相似的信号匹配算法。调查结论是:这些产品的底层代码在事件发生前已完成核心框架设计,但“目前没有证据表明安全公司事先知道具体的病毒代码”。这条结论一出来,就在行业内部引发了新一轮争论。有人指出,这句话的字面意思并没有排除他们知道漏洞本身。不知道具体病毒代码,但知道漏洞迟早被利用,于是提前把产品框架搭好,等着事件爆发——这种行为和提前知道具体代码有什么本质区别?哪个更恶劣——是知道具体时间地点但不去阻止,还是知道必然发生但什么都不说?
张薇在新加坡实验室里读完调查报告后,在日志中写道:
…。。