第195章 抽签投喂（2 / 3）

同一设备指纹对应多个身份，意味着有人在批量制造候选。

他们不需要控制抽签随机数，只需要制造更多“自己人”。

沈绫声音发紧：“这就是见证水军。”

江砚点头：“水军不是为了当见证，是为了让见证看起来不可信。”

---

### 六、敌人的真正动作：他们抛出“见证委员会”提案

就在设备指纹证据被锁定的当天晚上，外界出现一份提案。

标题很漂亮：

《见证机制整顿建议：建立固定见证委员会以提升公信力》。

署名：**清证会**。

他们的逻辑链很完整：

1）抽签池可被投喂，随机不可靠；

2）随机不可靠会让证明体系失去信任；

3）应建立固定见证委员会，由经过严格审查的资深人士担任；

4）委员会名单公开，接受监督；

5）委员会可在争议时作最终解释。

看上去像在修复信任。

实际上是把见证变成终审。

终审就是中心化。

清证会只是定标会的见证版本。

他们把开关叫“委员会”。

存在性编号：NAR-LOT-01

NAR-LOT-01A：清证会提案拆解

NAR-LOT-01B：固定委员会=常驻权威=可夺入口

NAR-LOT-01C：与意图宪章I1冲突（操控成本必下降）

江砚看完只说：“他们终于把刀放到台面上。”

---

### 七、江砚的回应方向：修随机，而不是威

面对清证会，最诱人的反应是辩论。

但辩论会把你拖进“你说随机可靠我说不可靠”的泥沼。

泥沼里没有证据，只有立场。

江砚选择守望纪元的路径：

**用机制修随机性，让投喂无效。**

也就是说：

不是取消抽签，而是让抽签候选池不可被投喂；

不是成立委员会，而是让随机性可自证；

不是公开人名，而是公开过程证明。

他提出一套升级：**抽签抗投喂协议**。

---

### 八、抽签抗投喂协议：随机性必须可验证，候选池必须有闸门

存在性编号：LOT-GUARD-01

LOT-GUARD-01A：候选资格闸门

* 见证池成员必须满足“真实参与成本”门槛：

* 至少完成N次轻量输入分叉点确认（匿名票据可追溯，对外不显影）

* 至少通过一次转译链确认（证明其参与不是空号）

* 至少经过一次随机抽检的资格核验（不公开身份）

* 新增资格有冷却期：加入后需等待T批次才可参与抽签，防止短时灌入

LOT-GUARD-01B：候选池配额与多样性约束

* 单一触达路径新增占比不得超过阈值

* 单一圈层新增占比不得超过阈值

* 若超过，新增自动进入缓冲池，不进入抽签池

LOT-GUARD-01C：抽签随机源多方承诺-揭示

* 由三方独立提交随机承诺（commit），在固定窗口揭示（reveal）

* 随机数由多方揭示混合生成，任何一方无法单独操控

* 随机源哈希封存，可外部校验

LOT-GUARD-01D：抽签过程证明

* 每次抽签输出“随机性证明”：

* 候选池哈希快照

* 多方随机承诺与揭示哈希

* 抽签结果哈希

* 过程见证签名（仍随机抽取，且见证人不见内容）

* 证明可外部校验，不暴露个体名单

LOT-GUARD-01E：抽签池投喂检测

* 设备指纹聚类、节奏等距检测、模板重复检测

* 高疑似只做资格降权与冷却延长，不封禁、不公开点名

这套协议做了两件事：

1）让候选池“可被灌入”变得昂贵：你要成为候选，必须付出真实参与成本，且有冷却期；

2）让随机“可被质疑”变得可验证：随机源不再是一个黑箱，而是多方承诺-揭示生成，外部能校验。

清证会说随机不可信？

你不用相信我，你校验证明。

敌人想把随机拖进信仰战。

你把随机拉回可验证。

---

### 九、资格闸门的关键：真实参与成本必须不可被脚本化

敌人最擅长脚本化。

如果资格门槛只是填表，他们会填。

如果资格门槛只是点选，他们会点。

必须让“真实参与成本”包含脚本难以伪造的部分——**分叉点确认的可逆链条参与**。

CONF票据内部可追溯，能够识别脚本节奏与伪随机抖动。

转译链确认需要理解分叉点意义。

脚本可以随机点选，但随机点选会产生异常撤销率与异常模板分布，很容易被投喂检测标记。

因此资格闸门不是卡人，是卡脚本。

卡脚本的同时，还要保护新人不被排除。

江砚用“冷却期+缓冲池”解决新人问题：新人可以加入缓冲池，参与学习与协作，但不能立即进入抽签池，避免被短期灌入利用。

这就像免疫系统：

你可以进入身体，但不能立刻触碰心脏。

---

### 十、随机源多方承诺-揭示：把“随机性争论”变成可校验事实

清证会的核心话术是：“随机可能被操控”。

以前你要解释很多。

现在你只需要给出随机性证明。

多方承诺-揭示的结构是：

* A、B、C三方分别提交一个随机承诺哈希

* 到揭示窗口，各自揭示真实随机串

* 系统用三方随机串混合生成最终随机数

* 任意一方不揭示则触发重抽机制与惩罚（对内审计，不对外点名）

任何一方单独操控都无法决定最终随机数，因为它无法预测另外两方的揭示。

外部可以校验哈希链是否匹配承诺。

这把随机性从“你说我说”变成“你验我验”。

守望纪元从不靠誓言，靠校验。

---

### 十一、投喂的处置：不是封杀，而是让投喂不进入抽签池

机要监提出：既然发现同一设备指纹批量报名，是否封禁？

江砚摇头：“封禁会制造政治，政治会制造火把。我们只做资格降权与冷却延长。”

他让系统对这些高疑似身份：

* 进入缓冲池

* 冷却期加长

* 参与成本要求提高（更多确认与更低撤销率）

* 不公开点名