第294章 旁路接口

出租车停在市一院后勤楼侧门时，凌晨的风已经带了露水。林尘付了车费，推开车门。左脚踩在柏油路面上，痛感像一根细针，顺着脚踝往小腿肚里扎。他停顿两秒，把重心移到右腿，慢慢挪下台阶。背包里的笔记本电脑硌着肩胛骨，他调整了一下肩带，朝信息科所在的地下室走去。

走廊的声控灯坏了大半，只有尽头的安全出口指示灯泛着幽绿。林尘刷了临时访客码，推开厚重的防火门。机房特有的低频嗡鸣混着臭氧和灰尘的味道扑面而来。刘科长已经等在里面，穿着洗得发白的夹克，手里捏着一串钥匙，眼底是熬夜熬出的红血丝。

“林工，这么晚还跑一趟。”刘科长递过一把折叠椅，指了指角落那台落满灰的机柜，“就这台，老PACS的采集节点。原厂工程师撤场前留了个本地维护口，但密码早丢了。我们试过重置，怕把索引库搞乱，一直没敢动。评估组要的数据，全卡在这儿。”

林尘点点头，没接话。他放下背包，取出电脑，接上机柜旁的备用网线。屏幕亮起，冷光映着他眼下的青黑。他先打开终端，用基础的网络扫描工具探了一遍内网段，确认端口开放情况。8080和443是通的，但握手协议返回的是XML格式的SOAP信封。十年前的医疗影像系统，为了兼容当时的HIS，硬套了这套笨重的标准。现在的网关早就转向轻量级的RESTful，中间隔着一道看不见的墙。

“不碰核心库，只做旁路。”林尘一边说，一边从包里翻出一个小型的千兆交换机和两根跳线。他把交换机串在采集节点和核心交换机之间，物理上做一个镜像分流。数据流向不变，只是多了一条只读的副本通道。

刘科长凑过来看，眉头皱着：“这能行吗？评估组要的是完整台账，镜像抓包会不会漏字段？万一把老系统拖崩了，全院拍片都得停。”

“漏不了。”林尘手指在键盘上敲击，调出抓包工具，“SOAP协议虽然臃肿，但结构是死的。我把请求头和响应体截下来，写个解析层，把XML节点映射成JSON。只读不写，不影响你们业务。如果中间断了，交换机自动旁路，流量直接走原路，对你们零风险。”

他说话语速不快，每个字都像钉在木板上。刘科长听着，没再插话，只是拉过一把椅子坐下，看着屏幕上的代码一行行滚动。机房里只有服务器风扇的呼啸，和偶尔响起的硬盘读写声。

林尘开始写适配脚本。没有现成的轮子，只能自己搭。他先定义了一个基础的解析类，用成熟的XML处理库构建树状结构，提取患者标识、检查序列号、设备型号这些关键字段。遇到嵌套过深的节点，他加了递归遍历。生僻字和乱码是常态，他直接套用早年写数据清洗脚本时的兜底逻辑，无法解析的字段统一标记为占位符，并记录原始字节流的哈希值，供后续人工复核。脚本不长，但逻辑必须严密。医疗数据容不得半点侥幸，一个错位的逗号，就能让整批台账作废。

凌晨两点四十，第一版脚本跑起来。终端窗口开始吐出日志。起初是红色的报错：连接拒绝，超时。林尘没慌，他逐行检查握手参数，发现老系统的加密协议版本只支持到早期的TLS 1.0，而现在的运行环境默认拒绝弱加密。他临时调整了客户端的握手策略，屏蔽了安全警告。重新运行。

进度条开始缓慢推进。绿色的日志一行行刷出。成功拉取影像元数据，字段映射完成，输出已写入本地缓存。

林尘盯着屏幕，呼吸逐渐平稳。他点开生成的文件，随机抽查了几条。时间戳、脱敏ID、检查部位、设备型号，全部对齐。他转头看向刘科长：“刘科，您核对一下这批样本。如果字段没问题，我就把脚本部署到测试环境，做全量拉取。”

刘科长凑近屏幕，推了推眼镜，逐条比对。过了约莫十分钟，他直起身，叹了口气：“对得上。林工，你这手活儿，确实扎实。以前找外包，光对接就要扯皮半个月，最后交出来的东西全是窟窿。”

“应该的。”林尘合上电脑，拔掉跳线，“脚本我会留一份在你们本地，设置成定时任务，每天凌晨两点自动跑。日志文件按日期归档，评估组要查台账，直接导表格就行。权限我只留了只读，密码您自己改。”

刘科长接过U盘，郑重地放进抽屉。“行。明天上午安盾的人来，渗透测试那边，我让信息科配合开白名单。你们抓紧弄。”

“谢谢。”林尘站起身。左脚落地时，又是一阵尖锐的刺痛。他扶着机柜边缘缓了几秒，把背包甩到肩上。

走出医院大门时，天边已经泛起一层灰白。早班的公交车开始进站，尾气混着早餐摊的油烟味。林尘在路边的长椅上坐下，拧开保温杯，灌了一口冷透的浓茶。胃里空荡荡的，但他没食欲。他掏出手机，给苏曼发了一条消息：“PACS旁路已通。数据流稳定。台账模板可以开始填了。”

几秒后，苏曼回了一个“收到。安盾的初扫报告刚出来，有个问题。”

林尘手指顿住。他点开文件。报告是PDF格式，标红处写着：“AI推理接口存在未授权访问风险。模型权重文件未做加密隔离，内网测试环境下，任意IP可通过构造特定Header直接调用核心推理服务。建议立即增加API网关鉴权与请求频率限制。”

他盯着那行字，眉头慢慢收紧。模型权重未加密。这意味着如果有人拿到接口地址，就能直接调用他们的核心算法，甚至通过高频请求反向推导训练数据的分布特征。在合规评估里，这是致命项。安盾的工程师明天上午九点进场，如果这个问题不解决，渗透测试直接判定不通过，三万五的加急费打水漂，评估资格也会跟着取消。

他靠在椅背上，闭上眼睛。九天的倒计时，又少了一天。没有退路，只能往前填坑。他睁开眼，在备忘录里新建一行：“1. 增加JWT鉴权中间件 2. 权重文件加密存储 3. 限制单IP并发阈值 4. 重新跑渗透测试。”

风卷起地上的落叶，擦过鞋面。林尘把手机揣回口袋，站起身。左脚依然痛，但步伐已经稳了。他拦下一辆刚下客的出租车，拉开车门。

“去哪？”司机问。 “回公司。”他说。

车窗外的城市正在苏醒。林尘靠在座椅上，手指无意识地摩挲着错题本的硬壳封面。他知道，协议通了，但门还没关紧。他得去把锁装上。