二、误报惩罚：让“吓人”变成亏本

但分级只是语言。要让恐慌营销消失，必须让“乱报严重”有成本。

于是SEC-RISK-01加了一个附录条款，名字很直白：

SEC-FALSE-ALARM-01｜误报与夸大惩罚机制

规则不抓“意图”，只抓“结果与模式”：

若第三方/服务商公开或私下宣称“重大/紧急风险”，但最终被判为L0/L1（非紧急），且发生频次达到阈值（例如30天内≥3次），则记为恐慌误报点

恐慌误报点进入周报统计（机构哈希，不点名），并触发：

冻结协作席（短期）或降低其提交材料可信权重（更严抽查）

其参与项目的安全类声明需附更严格的证据链（验证报告编号）

若发现误报伴随“推销安全套餐/托管年费”话术，则直接纳入风险干扰源线索池

“你可以卖安全服务。”林远说，“你不能靠制造恐慌来卖。恐慌营销必须亏本。”

刘曼担心：“会不会误伤真正的提醒？万一有人真的发现问题，但我们判低了？”

林远点头：“所以我们给救济：可以申请复核，走RFC-ARB仲裁。把争议变成判例，而不是变成吵架。”

三、第一例：把“恐慌套餐”打回L0

第二天，一个城市真的被“安全巡检套餐”吓到了。领导在会上拍桌子：“平台有重大漏洞？你们怎么不早说？马上采购巡检！”

城市技术负责人私下找到陈毅，发来顾问的“风险报告”。报告写得像论文，关键词堆满：注入、提权、链路污染、证据伪造……最后落在报价单上。

陈毅看完，第一步不是反驳，而是按SEC-RISK-01走流程：

“请提供risk_id与可复现最小样例（内部封存亦可），并说明影响范围桶。”

对方给不出来。只说“出于安全考虑不能提供”。

林远听到这句笑了笑：“安全考虑不是拒绝编号的理由。你连编号都不给，就是卖恐慌。”

于是解释席轮值小组出具一张编号化“风险解释单”，结论直接写：

这章没有结束，请点击下一页继续阅读！

判定：L0（信息）

原因：无可复现样例、无影响范围桶、无编号；更像配置误用建议

动作：不进入热修，不触发目录标记；建议按月度列车修复配置检查项

提醒：恐慌营销话术记录入线索池（不点名）