第202章 可预测形变

    巡检录-33720。


    污点最小性宪章落地后，影追踪不再满纸涂黑：


    弱触碰洪潮被反事实试验场压缩成聚类实验；等价形变测试集把“按理不该变”的变换变成一排钉子；泛染警报像清洁工一样擦掉镜片上的墨；那条隐藏在弱触碰里的侧门被确认、修复、写入反例前置。


    城市的眼睛终于能“看得见”，也能“看得准”。


    看见精度回到自然区间，夜视镜不再令人厌烦，反而像一条安稳的安全带。


    就在这种“稳”里，机要监递来一份很短的报表。短到让人直觉不安：危险往往不会用很长的句子出现。


    校核码：ANL-SURP-01


    题名：形变熵下降：意外减少，通行率异常


    沈绫盯着“意外减少”四个字，迟疑了一下：“意外减少不好吗？说明系统更稳定。”


    机要监摇头：“稳定不是问题，‘意外消失’才是问题。我们看见的不是稳定，是可预测。”


    江砚抬眼：“哪里可预测？”


    机要监把两组曲线叠在一起：


    曲线A：等价形变测试集的覆盖熵（即本周期抽到的形变类型多样性）在过去十六个批次持续下降；


    曲线B：反事实试验场的“触碰确认”比例下降，但“触碰否认”比例也下降——更多样本直接被判为“无需复核”；


    曲线C：最关键：在外压、样本量、供应链集中度都未明显变化的前提下，“三实现一致通过”的比例接近完美，且过于平滑。


    “过于平滑”，是守望纪元里最刺耳的形容词。


    平滑意味着没有摩擦。没有摩擦意味着没有意外。


    没有意外意味着敌人可以提前写好答案。


    沈绫心里发冷：“他们把测试变成了可练习的题库。”


    机要监点头：“我们怀疑有人在偷走形变的随机性，让对手能预演所有抽到的变换。”


    江砚没有立刻说话。


    他很清楚这一击的本质：


    如果影追踪与分层靠“意外”来逼出侧门，那么意外一旦被夺走，侧门就能学会躲在未被抽到的角落里。


    敌人要夺走的不是规则，不是证明，不是校验。


    他们要夺走一种更微妙的资源：不可预期性。


    当所有测试都可预期，再严密的体系也会变成仪式。


    仪式会让人安心。


    安心会让人放松。


    放松会让开关在无人察觉处长出来。


    江砚的声音很轻，却像刀背：


    “他们不需要让我们失明。只要让我们相信‘再也不会出意外’，我们就会自己停下警觉。”


    ---


    ### 一、可预测形变的逻辑：敌人不再硬闯门槛，而是训练通过


    等价形变测试集与反事实试验场，本质是“你改变表层，我看关键是否不变量”。


    这些测试的威力来自两点：


    1）变换足够多，覆盖足够广；


    2）抽样足够不可预测，对手无法提前适配。


    当形变熵下降，意味着抽到的变换越来越重复、越来越规律。


    对手就能用最便宜的方式过关：训练、适配、套模板。


    更可怕的是：


    对手不必改变系统，他们改变自己。


    他们把攻击写成“对测试友好”的形式，永远不触发你设定的不变量，而在你没测的地方偷偷触发。


    这就是“测试绕行”在更高层的变体：


    不是绕开测试入口，而是绕开测试覆盖。


    沈绫低声：“我们变成了出题人，对手在刷题。”


    江砚点头：“刷题的人最怕的不是难题，是突然换题。意外就是换题。”


    ---


    ### 二、意外从哪里消失：不是形变库被删了，是抽样变得可推断


    机要监把“形变抽样器”的运行日志做了密度分析。


    校核码：ANL-SURP-02


    要点：


    形变抽样器在批次窗口的调用时刻趋于固定；


    抽样序列的周期性增强（出现短周期循环）；


    抽样器的“自适应降噪”参数在过去一个周期被微调，优先选择“低成本形变”；


    低成本形变恰好与多数侧门无关，且更容易保持三实现一致。


    这四条放在一起，几乎等价于一句话：


    抽样器为了效率，开始偏爱“安全、便宜、重复”的题目。


    题目重复，敌人就能背答案。


    背答案不是进步，是欺骗。


    沈绫皱眉：“自适应降噪？谁允许它动这个参数？”


    机要监回答得很克制：“不是系统自己动，是有人提交了一份‘性能优化补丁’，在规约层被归类为低风险，因为它不改变不变量定义，只改变抽样权重。”


    江砚眼神一下子冷下来：“又是低风险角落。”


    守望纪元一路学到的痛：


    敌人最爱在低风险角落放刀。


    因为你不会在那里设哨。


    ---


    ### 三、敌人的新组织：题库署


    就在形变熵下降曲线出现的同一时期，外扩圈层冒出一个看似“为大家省心”的组织：


    题库署。


    他们的口吻特别像工程经理：


    > “形变测试太耗资源，应当优先跑低成本、低波动的形变，保证持续性。


    > 大而全的形变库会带来不一致与误报，影响行动区间。


    > 我们建议建立‘标准形变题库’，固定一套最常见的形变，长期稳定运行。”


    “标准题库”四个字，是他们的炸药。


    它把意外变成可预测。


    把不可预测变成“不专业”。


    把换题变成“波动”。


    他们不提统一核心，不提委员会。


    他们只提“标准”。


    标准一旦固定，就等于给对手发了答案表。


    沈绫低声：“他们要的不是节省资源，是节省敌人的成本。”


    江砚点头：“敌人的成本下降，就是我们的入口被掏空。”


    ---


    ### 四、可预测形变的终点：让所有证明都像一场彩排


    如果形变抽样序列可推断，敌人就能做三件事：


    1）在提交前本地跑一遍同样的形变序列，确保全绿；


    2）将攻击设计成“对这套形变不敏感”，即永远不会触碰你测的点；


    3）把真正的侧门藏在你不测的变换类里，例如某类编码扰动、某类排序临界、某类缓存边界、某类时钟偏移。


    当你每次都抽到同样题目，系统的“通过率”会非常漂亮。


    漂亮到让人以为风险消失。


    这就是仪式化的危险：


    它把活的防御变成了静态合规。


    江砚很清楚：


    守望纪元最不能接受的不是失败，而是“看起来永远成功”。


    永远成功只可能意味着：有人在决定题目。


    ---


    ### 五、江砚的判断：形变抽样必须像抽签一样抗投喂、可校验、且不可预测


    他们曾经用抽签抗投喂协议守住见证随机性。


    现在同样的逻辑必须扩展到形变抽样：


    抽样的候选集合不能被悄悄缩小；


    抽样权重不能被低风险补丁偷偷改；


    抽样序列不能形成可推断周期；


    抽样随机性必须可验证，但不能被预测；


    且抽样的“题目多样性”本身必须纳入预算，像多样性预算那样被守望。


    江砚提出一个新协议：形变随机性共识。


    ---


    ### 六、形变随机性共识：把“出题”也变成可验证的公共过程


    校核码：SURP-RAND-01


    名称：形变随机性共识协议


    SURP-RAND-01A：多方承诺-揭示随机源（借鉴抽签）


    由三方独立提交形变抽样的随机承诺（commit）


    在固定窗口揭示随机串（reveal）


    抽样序列由三方随机串混合生成


    任一方无法单独预测最终序列


    SURP-RAND-01B：形变库快照哈希封存


    每个批次形变库集合（形变类型、参数范围、形变类族）生成快照哈希


    快照哈希对外可校验（不公开细节参数，避免给敌人地图），对内可审计


    SURP-RAND-01C：形变熵预算


    每批次必须达到最低多样性熵Hmin


    若熵不足，自动提升稀有形变权重，或扩大抽样范围


    熵预算不足触发“意外保护”警报


    SURP-RAND-01D：抽样序列反推断护栏


    抽样时刻引入锁相抖动（不影响复现锚，但避免可推断时间窗）


    序列周期性检测，检测到循环则强制重置随机串并触发审计


    SURP-RAND-01E：对外只公开“形变随机性证明卡”


    证明：本批次满足熵预算、承诺-揭示匹配、库快照哈希一致


    不公开具体抽到哪些形变（否则等于发答案）


    这套协议的关键点是：


    让出题不可被操控，但也不可被提前知道。


    你能验证它真随机，你却不能预测它会抽什么。


    这就是守望纪元一贯的高难度平衡：


    透明不等于曝光；


    随机可校验，但不可预演。


    ---


    ### 七、意外保护警报：形变熵下降不是省资源，是风险信号


    机要监之前的ANL-SURP-01就是预警雏形。


    江砚把它制度化为“意外保护警报”：


    校核码：SURP-ALRT-01


    触发条件：


    形变熵连续下降超过阈值且外压不降


    抽样序列出现短周期重复


    低成本形变占比异常上升


    三实现一致通过率过于平滑（低波动异常）


    触发动作：


    强制提升稀有形变权重


    冻结低风险抽样权重补丁，进入规约试验场


    启动“抽样投喂调查链”


    对外发布简明说明卡：这是保护意外，不是制造波动（附意图映射I1/I2/I3）


    敌人最爱把“波动”说成不专业。


    意外保护警报把波动变成制度：


    适度波动不是坏事，是免疫在呼吸。


    ---


    ### 八、抽样投喂调查链：谁在把题目变简单


    敌人可能通过三条路投喂形变抽样：


    1）投喂形变库：让稀有形变看似存在但实际不可用（参数范围被压扁）；


    2）投喂抽样权重：以性能优化为名把低成本形变权重抬高；


    3）投喂时间窗：让抽样时刻可推断，从而预测序列。


    抽样投喂调查链要追的是因果路径，不追人名：


    校核码：SURP-INVEST-01


    G1：形变库快照对比（类型是否减少、参数范围是否收缩）


    G2：权重变更追溯（是否有低风险补丁改变分布）


    G3：时刻与序列周期检测（是否出现可推断周期）


    G4：供应链关联（镜像站、构建链、规约补丁来源集中度）


    输出：


    若确认投喂：生成L2反例卡（不可做：形变权重不得以效率为名降低熵）


    若是自然变化：调整熵预算并更新稀有形变权重策略


    若是灰区：进入观察池并提高抽样审计频率


    ---


    ### 九、敌人的反击：他们说“不公开抽到什么就是黑箱”


    题库署与涂墨团很快合流，抛出一个看似正义的质疑：


    > “你们说随机，但不公开抽到哪些形变，谁知道你们有没有避开困难题？”


    > “不公开抽样结果就是黑箱。”


    这是典型的透明勒索：


    逼你公开题目，逼你把答案表发给对手。


    江砚的回应仍是“证明替代曝光”：


    公开抽样证明卡与熵预算满足证明，公开库快照哈希，公开承诺-揭示匹配校验。


    但不公开具体抽到什么。


    同时引入“第三方密封抽检”：


    随机见证抽签团在对内账可看到抽样结果，并签名证明“未避难题”，但对外只给签名摘要，不泄露题目。


    校核码：SURP-WIT-01


    要点：


    见证人只验证“抽样结果确实来自随机证明链”，不透露抽样内容


    见证签名可外部校验


    见证人护盾防靶子化


    这样，公众能验证抽样不是自选题；


    对手仍无法拿到题目去预演。


    ---


    ### 十、一次险情：对手利用“已知形变”绕过侧门，再次试探揭示短路


    在形变随机性共识尚未完全铺开时，系统经历一次令人后背发紧的试探。


    外压轻度叠加期，某类证明卡在三实现一致通过，反事实与形变测试都未触发异常。


    但影追踪的“弱触碰聚类”里出现一个小小的重复模式：


    同一提交端连续多次选择相似的显示编码组合，且每次都恰好避开形变库里最稀有的两类扰动。


    这像是在避题。


    避题不是罪，避题是信号：对手知道题目是什么。


    机要监立刻把这类提交端标记为“疑似刷题者”，并把其后续提交导入“暗箱形变”队列——系统对其额外施加一组未公开的稀有形变（仍不暴露内容，对内可审计，对外只见证明卡）。


    结果很快出现：


    在暗箱形变下，其中一条证明卡触发了揭示校验路径的短路边界——与L2-INK-01同源的侧门气味。


    虽然不至于造成事故，但足以证明：对手正在利用可预测形变绕开被测点，在未测点上反复试探。


    沈绫声音发紧：“他们在打靶，靶子是我们公开习惯的抽样分布。”


    江砚点头：“所以我们必须让靶子动起来，而且动得可验证。”


    ---


    ### 十一、暗箱形变不是黑箱：它必须有可验证边界与预算


    “暗箱形变”听起来像秘密武器，很容易被攻击为黑箱。


    江砚拒绝秘密武器，他只接受“对手不可预演但可被审计”的机制。


    于是暗箱形变被写入边界：


    校核码：SURP-STEALTH-01


    规则：


    暗箱形变只对“疑似刷题者”启用（依据节奏指纹、避题模式、来源集中度）


    暗箱形变本身来自形变库快照的稀有族群，且抽样随机性仍由承诺-揭示证明链生成


    对外不公开形变内容，但公开“暗箱启用证明卡”：说明启用原因类别、随机性证明通过、熵预算满足


    暗箱启用有预算上限，防止过度使用变成权威


    启用结果若触发真实侧门，必须生成反例卡并前置；若未触发，不可作为定罪证据


    这样暗箱形变不成为黑箱裁判，而是对抗刷题的免疫补丁：


    你看不见题目，但你能验证出题是随机且合规的，且启用有边界。


    ---


    ### 十二、题库署的再升级：他们开始投喂“形变标准化规约”，试图冻结库快照


    当形变随机性共识抬高了对手预测成本，题库署换了一条更阴的路：


    不去预测随机，而去冻结随机的候选集合。


    他们推出一份规约草案：


    > “为提升跨实现一致性，形变库应采用标准集合，禁止引入未评审形变；


    > 形变参数范围应固定，避免波动；


    > 稀有形变会导致不一致，应尽量减少。”


    这就是把“熵预算”变成“熵禁令”。


    用一致性勒索意外。


    江砚把它直接送进规约试验场，并给出一个最关键的指标：对手可预演成本。


    如果形变集合冻结、参数固定，对手可预演成本会下降到接近零。


    入口成本骤降，I1被直接破坏。


    这在试验场里是可量化的：模拟对手通过训练在固定题库下的通过率提升速度。


    试验场结论很干净：冻结题库会显著降低操控成本。


    草案被拒绝，并生成L2反例：


    校核码：L2-SURP-01


    不可做：形变库不得固定为标准题库；固定集合会降低对手适配成本，等同向攻击者发答案表；稀有形变不得以一致性为名被系统性压制。


    ---


    ### 十三、形变多样性预算：让意外成为可持续资源，而不是偶然好运


    意外不能靠“想起就做”。


    意外必须像预算一样被守望，像口粮一样不能被挪用。


    江砚把形变熵预算升级为“多样性预算”的一个子账户：


    它与人员、供应链、依赖多样性同级。


    每个周期必须达标，达标证明公开摘要，不达标触发警报与回滚。


    这让意外不再依赖英雄。


    英雄会疲惫，预算不会。


    ---


    ### 十四、一个更深的防线：未知形变生成器


    敌人适配能力再强，也需要题目空间有限。


    若形变库只是固定列举的集合，对手总能逐步覆盖。


    因此，系统必须拥有“可生成型形变”——不是写死的题库，而是可组合的变换生成器。


    但生成器同样可能被投喂、被同核、被规约劫持。


    江砚把生成器也纳入“多实现+可复现构建+承诺-揭示”治理：


    生成器的种子不可预测但可校验；生成器的输出族群分布必须满足熵预算；生成器的规约变更进入试验场；生成器的实现保持多样性。


    更重要的是：生成器必须遵守“安全边界”：不能生成会泄露隐私或显影推断的形变；不能生成会破坏可回滚性的形变；不能生成会把系统拖入过敏的形变。


    也就是说：意外要可控。


    意外不能变成随机灾难。


    ---


    ### 十五、尾声：真正的意外不是混乱，是不可预演的秩序


    巡检录-34000。


    可预测形变被识别为“刷题式夺权”：


    形变随机性共识用多方承诺-揭示守住出题随机；形变库快照哈希封存与熵预算把意外当作系统资源；序列周期检测与锁相抖动阻断可推断时间窗；意外保护警报把“过于平滑的成功”视为风险；抽样投喂调查链追溯低风险权重补丁与候选集合收缩；暗箱形变以可验证边界抵抗刷题者试探；规约试验场拒绝“标准题库”冻结，反例前置封死一致性勒索意外的路。


    敌人想夺走的不是规则，而是“突然换题”的能力。


    当题目可预演，防线就会仪式化；


    当防线仪式化，绿灯就会变成遮羞布；


    当遮羞布遮住侧门，开关就会在未测的角落里复活。


    守望纪元的回答不是制造混乱。


    它让意外成为可验证的秩序：


    你能证明出题没有被操控，却不能预测题目；


    你能验证熵预算满足，却拿不到答案表；


    你能在不显影的前提下确认“未避难题”，却不能把难题贴到城门口。


    这就是更成熟的防御：


    不是更紧的门槛，而是更难被彩排的世界。