同事借电脑后异常，我立即重装系统，2小时后技术总监被开除

同事借电脑后异常流畅，我立即重装系统，2小时后技术总监被开除

我叫程序，在一家互联网公司做产品运营，岗位跟代码不沾边，但我这个人有个毛病——对电脑的流畅度异常敏感。

这个毛病是被我大学时那台三千块的笔记本逼出来的。那台破电脑开机三分钟，打开Word要转二十秒圈，我练就了一身“听风扇转速判断后台进程”的本事。后来工作了，公司配的电脑是去年款的ThinkPad，配置不算差，但装了公司那一堆监控软件、杀毒软件、内网准入之后，卡得跟老牛拉破车一样。开机两分钟，打开一个Excel要等五秒，我早就习惯了。

所以当周二下午，同事老刘把电脑还给我的时候，我差点以为他用的是另一台电脑。

“谢了啊程序，用你电脑处理个急事。”老刘把笔记本往我桌上一放，笑眯眯地走了。

老刘是我们产品部的产品经理，比我大五岁，工位在我斜对面。平时关系还行，偶尔一起抽烟，偶尔吐槽公司食堂。他借电脑的时候说是OA系统登不上了，要用我的电脑发个紧急审批。我没多想，把电脑解锁给了他。

他用了大概四十分钟。

我坐下来，打开屏幕，习惯性地点开浏览器。

浏览器秒开。

我愣了一下。平时Chrome从点击到完全加载至少要三秒，这次连一秒都不到，图标闪了一下就出来了。我以为是错觉，又试了试打开公司的内部系统——平时要转圈五六秒的那个页面，这次几乎是瞬间加载完成。

我皱了皱眉。

打开任务管理器。CPU占用率只有百分之三，内存占用百分之四十一。平时我的内存占用长期在百分之七十以上，公司的监控软件和杀毒软件是两个吃内存的大户，再加上微信、钉钉、飞书，我的电脑从来就没低于过百分之六十。

今天是百分之四十一。

我往下翻任务管理器的进程列表。平时密密麻麻的进程少了一大片，尤其是那几个后缀为“security”“monitor”“audit”的进程，全都不见了。

公司强制安装的内网安全软件，没了。

杀毒软件，也没了。

还有几个我不知道是什么但一直在后台运行的奇怪进程，也都没了。

我的电脑像是被人做了一次彻底的清洗，干净得像刚装完系统。

但我的文件都还在，软件也都在，只是那些拖慢速度的“牛皮癣”被精准地移除了。这不是简单地删几个文件能做到的，因为公司的安全软件有驱动保护，普通管理员账号都卸载不了，必须要有特定的卸载密码或者进安全模式。

老刘是怎么做到的？

他没有我的管理员密码，也没有卸载密码，他就用了四十分钟。

我盯着屏幕看了十几秒，做了一个决定——重装系统。

不是因为害怕，是因为我在这个行业待了六年，见过太多“异常流畅”背后的代价。大学同学小林的电脑被别人借去用过之后变得飞快，他没在意，一个月后他的社交账号被盗，发了几百条垃圾广告，封号三次都没救回来。另一个同事的电脑被人装了挖矿脚本，平时没事，一到晚上就满负荷运转，三个月后显卡烧了。

你永远不知道别人在你电脑上做了什么。而“异常流畅”往往是一个危险信号——有人绕过了你所有的安全防护，用你不知道的方式，掌控了你的电脑。

我把U盘插上，重启，进BIOS改启动顺序，开始装系统。我们公司对员工重装系统管得不严，只要不泄露公司数据就没事，我每个月都会备份一次重要文件，所以重装起来不算麻烦。

格式化C盘的时候，我注意到一个异常。系统盘的已用空间只有四十多个G，但我记得我C盘有八十多个G的东西。少了将近一半。

那些消失的——除了公司的监控软件——还有什么？

我多看了一眼被格式化的分区列表。除了C盘，还有一个隐藏的、没有盘符的小分区，大小只有三百多兆。这个分区我记得一直都在，是联想电脑自带的恢复分区，没什么稀奇。但它在我的磁盘管理里原本是可见的，现在却多了一个标记——系统保留后面的说明文字好像被改过。

我没太在意，继续装系统。

Windows安装程序跑得飞快，可能是因为硬盘被清理干净了，读写速度都比平时快。二十分钟后，新系统装好了。我装了驱动和常用软件，连上了公司的网络，一切正常。

重装完系统之后，我特意检查了一下，内存占用回到了百分之六十多，跟以前一样“卡”了。那些消失的安全进程又出现了——因为连上公司内网之后，IT部门的策略会自动推送安装安全软件和监控客户端，这是公司的强制规定。

一切都恢复了正常。

我以为这件事就这么过去了。

直到两个小时以后。

那天下午四点，我正在做用户增长的数据报表，突然听到办公室那头传来一阵骚动。先是技术部那边有人提高了音量在说话，然后是椅子挪动的声音，然后是脚步声，越来越多的人往技术部的方向张望。

我的工位在运营区，和技术部隔了一道玻璃墙。我透过玻璃看到技术部的同事们都站了起来，围成了一圈，中间站着一个穿白衬衫的人——是技术总监赵总。

赵总平时是不怎么去技术部工位的，他有一个单独的办公室在走廊尽头。但此刻他站在技术部的开放式工区里，脸色铁青，对面站着两个穿黑色西装的陌生男人。

那两个西装男人我从来没见过。公司的人我都认识，最高管理层也见过，但这两个人不是公司的。他们的穿着太正式了，领带系得一丝不苟，站在一群穿卫衣和T恤的程序员中间，像两根钉进蛋糕里的图钉。

HRBP杨姐也来了，跟在一个更高级别的领导后面——副总裁王总。王总平时总是笑眯眯的，但那天他的表情很严肃，嘴角绷成一条线，眼睛里没有任何温度。

办公室里的气氛骤然变得很压抑。所有人都在小声议论，没人知道发生了什么。

我的手机震了一下，是运营部的小群，有人发了一张照片，是从远处拍的赵总被两个西装男人带走的背影。照片很模糊，但能看出赵总的后背衬衫湿了一大片。

紧接着又有一条消息，是技术部的同事偷偷传到公司大群的，发出来两秒就被撤回了。但我看到了。

那条消息只有一句话：“赵总被开除了，好像是服务器被挖矿了。”

我的脑子里“嗡”的一声。

挖矿。就是那种利用别人电脑算力去挖加密货币的东西，会导致电脑变慢、发热、耗电。但我的电脑不是变慢，是变快了。不对——如果有人在公司服务器上挖矿，那服务器会变得很慢，跟我的情况正好相反。我的电脑是被人删掉了监控进程，变得流畅了。这两件事有什么关联？

我正想着，手机响了，是IT部的主管老宋。他让我去一趟技术部的小会议室。

我到的时候，小会议室里坐着三个人：副总裁王总、HRBP杨姐，还有IT部主管老宋。王总示意我坐下，老宋开口问了我一个问题。

“程序，你今天下午是不是重装了系统？”

“是。”我没有隐瞒，这种事也瞒不住，IT那边能看到每台电脑的镜像和状态。

“为什么重装？”

我把经过说了一遍。同事老刘借了我的电脑，还回来之后电脑异常流畅，我发现监控软件和安全进程都被移除了，出于安全考虑重装了系统。

老宋和王总交换了一个眼神。

“老刘借你电脑，做了什么你知道吗？”王总问。

“他说是OA登不上，要发个紧急审批。”

“你电脑里有没有公司服务器的私钥或者敏感文件？”

我想了想。我是做运营的，不是技术，我的电脑里没有服务器私钥。但我电脑上装了公司的VPN客户端和远程管理工具，这些工具保存了我的登录凭证，如果被人拿到，可以登录到公司的内部管理系统，虽然权限不高，但能看到一些信息。

“有VPN凭证。”我说，“但是需要二次验证，他有我的手机验证码吗？”

老宋又问了几个技术性的问题，让我把当时的情况写了个说明，签了字。然后他们让我先回去，不要跟任何人谈论这件事。

我从会议室出来的时候，正好看到老刘被叫了进去。

老刘经过我身边的时候看了我一眼，那个眼神很奇怪——不是心虚，不是慌张，而是一种我没法形容的、近乎于同情的表情。他好像知道一些我不知道的事情。

我回到工位，坐下来，越想越不对劲。

借电脑，删除监控进程，异常流畅，服务器挖矿，技术总监被开除。这些碎片在我脑子里飞速旋转，像一堆散落的拼图，缺一块关键的拼片。

我打开了电脑，虽然重装了系统，但硬盘上的文件我都备份过了。我找到备份里的一个系统日志文件夹——这是我重装前手动导出的，做运营的人习惯留痕，没想到这个习惯今天派上了用场。

日志文件里记录了一些系统事件。我一条一条翻看，看到一条来自“ServiceControl”的日志，时间是老刘借我电脑的那四十分钟之内。

日志内容是一串字符，我看不懂。但我复制下来发给了我在技术部关系最好的一个同事——大张。大张是后端开发，技术过硬，而且口风严。

五分钟后，大张给我回了消息。

“程序，这条日志记录的是一个服务停止事件。服务名称被混淆了，但底层指向的是公司的‘端点检测响应系统’，就是EDR。EDR被停掉了，而且停掉的方式不是通过正常渠道，是直接终止了内核驱动。能做到这个的人，必须有管理员权限，而且要对公司的安全架构非常熟悉。”

他紧接着又发了一条：“这不是老刘能做到的。老刘一个产品经理，他连自己电脑的驱动都装不明白，怎么可能杀EDR？”

“那谁能做到？”

大张沉默了一分钟，然后发了一个名字：“赵总。或者至少是技术总监级别，有整个IT系统的最高权限。”

我的后背一阵发凉。

如果停掉EDR需要技术总监级别的权限，那么老刘借我的电脑只是一个幌子。他只是一个执行者，真正在背后操作的人是赵总。但是赵总为什么要这么做？他可是技术总监，公司的整个技术体系都是他搭的，他要做什么事情，根本不需要通过老刘借我的电脑。

除非——他要做的事情，不能用自己的权限，不能用公司的任何正式渠道，必须借用一个普通员工的电脑，通过某种方式绕过所有审计，留下一个看似是“员工个人行为”的痕迹。

他想干什么？

我在工位上坐了很久，脑子里翻来覆去地推演各种可能性。直到快下班的时候，大张又给我发了一条消息，这次是一段很长的文字。

“程序，我刚才偷偷查了一下我们服务器的访问日志。今天下午一点到两点之间，有一个异常IP通过VPN登录了内网管理后台，这个VPN账号是你的。登录之后，这个IP执行了一系列操作，关闭了服务器集群的监控告警，然后在三台数据库服务器上部署了挖矿程序。不是普通的挖矿，是经过定制改造的，它会根据服务器的负载动态调整算力占用，白天假装没事，晚上十点以后全速运行。如果不是你重装系统触发了我们IT那边的自动审计告警，这个挖矿程序可能会一直运行下去，没人会发现。”

我的手指开始发抖。

“我的VPN账号？但我今天没有登录过VPN，我下午一直在做报表。”

“所以问题出在你电脑上。你的VPN凭证被人盗用了，而且绕过了二次验证——这可能是因为有人在你们技术部内部关闭了对这个账号的二次验证校验，同样需要高级权限。”

“你是说赵总？”

“不只是赵总。程序，你仔细想一下，老刘借你的电脑，删了EDR，拿了你的VPN凭证，然后有人用你的账号登录内网部署了挖矿程序。赵总今天被带走的原因，表面上是因为服务器被挖矿，但更深层次的原因——我猜——是公司发现赵总跟这件事有关。你想，挖矿程序运行了至少两周了，赵总作为技术总监不可能不知道。他知道，但他没有处理，甚至还帮着掩盖。”

“可他是技术总监啊，挖矿对他来说能赚几个钱？”

大张回了一个冷笑的表情：“不是钱的问题。程序，你再想想，如果有人在你们公司服务器上挖矿，最直接的后果是什么？”

“服务器变慢，业务受影响？”

“不止。最直接的后果是，公司会启动安全排查，整个IT系统会被翻个底朝天。所有权限会被回收，所有访问日志会被审查。如果有人在这些日志里留下了某些不能被看到的痕迹，那挖矿就是一个完美的烟幕弹。把水搅浑，让真正的目的淹没在混乱中。”

“真正的目的是什么？”

大张没有再回复。

我放下手机，感觉整个人像被人从高处扔了下去，一直在坠落，触不到底。

第二天，公司发了内部通报。

赵志远，技术总监，因严重违反公司信息安全规定，利用职务之便，在服务器上部署未经授权的程序，并指使下属窃取他人账号权限，情节严重，予以开除处理，并保留追究法律责任的权利。产品部员工刘某某，予以记大过处分，停职调查。

通报很简短，措辞很官方。但我知道这背后藏着的东西远比通报上写的要复杂得多。

后来我从各种渠道拼凑出了一个大概的真相。赵总被人查出来在过去三个月里，利用公司服务器做了一些事情——不是挖矿，挖矿只是表面的烟幕弹。他真正做的，是在公司数据库里植入了一个后门，定期将公司的部分核心业务数据同步到一个外部服务器。数据经过脱敏和加密，表面上看起来像正常的备份流量，实际上包含了大量用户信息和商业策略。

那些数据被卖给了竞争对手。

挖矿程序是他用来掩盖数据传输痕迹的手段——当所有人的注意力都被“服务器被黑了在挖矿”吸引的时候，没有人会去深挖那些数据传输日志。如果不是我的电脑突然变得异常流畅，如果不是我多疑到立即重装了系统，触发了IT部门的自动审计告警，导致安全团队提前介入排查，这个计划可能真的会成功。

赵总被带走的那天晚上，公司的安全团队连夜排查了所有服务器的访问日志。他们发现，在过去三个月里，赵总用他自己的最高权限账户，断断续续地从数据库里导出了大约2.7G的数据。这些数据以加密压缩包的形式，被发送到了一个境外的云存储服务器上。

警方后来介入调查，赵总被刑事拘留。老刘因为是受赵总指使，且没有直接参与数据窃取，被从轻处理，但也丢了工作，据说还背了一个行业禁入的处分。

公司给我发了一笔奖金，五千块。王总亲自找我谈了一次话，说我的警惕性挽救了公司的重大损失，问我愿不愿意转到信息安全部门。我婉拒了，我说我还是喜欢做运营。

不是因为我不感兴趣，是因为经历了这件事之后，我对“电脑变得异常流畅”这件事产生了永久的、刻入骨髓的戒惧。如果让我每天盯着那些安全日志，我可能会疯掉。

有时候，一个人对某种事物过度的敏感，是因为他曾经被伤害过，或者见过太多人被伤害。我的大学同学、我的前同事、还有我自己——我们都在这个数字丛林里跌跌撞撞地活着，不知道哪一次点击、哪一根数据线、哪一个借电脑的同事，就会成为一切崩塌的开始。

老刘最后找我道过一次歉。

他说：“程序，对不起，我不知道赵总做的事，他跟我说只是要测试一下安全漏洞，让我用你的电脑做跳板。我真的不知道他偷数据。”

我问他：“那你为什么要删我电脑里的安全软件？”

老刘低下头，沉默了很久。他说：“赵总给了我一个U盘，让我插到你电脑上运行一个程序。他说那个程序会自动完成所有操作，我只需要借到你的电脑就行。我发誓我当时以为真的是安全测试。”

我看着老刘的眼睛，那双眼睛里全是血丝，眼皮肿着，看起来好几天没睡了。我不知道他说的是不是真的，也许他真的不知情，也许他知情但被赵总拿捏了什么东西。但这些都不重要了，重要的是结果——一个技术总监，拿着百万年薪，出卖公司数据，毁掉了自己的职业生涯，也毁掉了好几个家庭的平静。