回函末尾加了一句：“评估过程中涉及的任何‘建议整改服务’，如出现指定机构或收费门票行为，将同步抄送市场监管线索平台。”

陈毅看着那句，心里发凉：“这等于直接点名开战。”

林远没否认：“他们想拿安全当刀，我们就让安全也被审计。”

第二天，现场核验如期进行。

评估人员来了五个，穿着统一的深色夹克，背着笔记本，看起来很专业。领头的人一进门就开口：“我们只做技术，不参与争议。请把后台权限给我们。”

陈毅冷笑：“权限可以给，但按旁听机制走。所有操作录屏，旁听官在场，日志抽检范围写清楚，超出范围视为违规取证。”

对方脸色微微一变：“你们这是不信任我们。”

“不是不信任。”审计旁听官接话，“是制度要求。你们评估是公共事务，就必须留痕。”

评估开始后，对方很快抛出“漏洞”：他们声称在FAQ接口里能通过参数枚举获取未公开的Release-ID条目，从而推测项目内部信息。

刘曼听得心跳加速：“真有？”

陈毅握着鼠标，强行压住火：“你们给出复现步骤。”

对方说了一串参数组合，像背稿子。陈毅照做——页面返回的是一条固定提示：

“该Release-ID条目未公开。请引用离线口径包或提交查询申请。”

“这不就是权限控制吗？”刘曼差点脱口而出。

评估人员不慌：“你们提示里泄露了条目存在与否。”

林远终于开口，语气平静：“存在与否本来就不应成为秘密。秘密应该是内容。你们所谓泄露，是把‘可追责坐标’当成隐私，这逻辑本身就不成立。更何况——你们说能枚举到‘未公开条目’，请问你们从哪里拿到枚举范围？Release-ID是带盐的哈希索引，不是顺序号。”

这一句问得很硬。