供应链攻击

让AI不再是黑客的“武器库”——信息安全意识培训动员稿

admin

“兵者,诡道也。”——《孙子兵法》
在信息化、智能化高速迭代的今天,所有组织的安全防线已经从“城墙”转向“神经系统”。若不让每位员工都拥有安全的“免疫细胞”,再坚固的防火墙也会被暗流蚕食。下面,让我们通过四起典型的 AI 关联安全事件,深度剖析攻击者的“新招式”,从而为即将开展的信息安全意识培训奠定血肉之基。

案例一:伪装的 MCP 服务器—AI 供应链的暗门

事件概述
2025 年 9 月,攻击者在公开的 Node.js 包管理平台(npm)上发布了一个名为 “postmark‑mcp‑client” 的伪装库。该库宣称是官方提供的 Model Context Protocol(MCP)客户端,用于让企业 AI 助手安全地访问 Postmark 事务邮件服务。企业在 CI/CD 流水线中引用该依赖后,攻击者在库内部埋下“一行代码”,使所有经过该库发送的邮件(包括密码重置、发票、内部备忘录)被悄悄转发到攻击者控制的外部邮箱。由于该库在 15 个版本中均保持“看似正常”,且每周下载量达 1500 次,数千家企业在不知情的情况下被“供血”。

技术手法
名称抢注 + 代码注入:利用开发者对便利库的依赖心理,抢占官方名称实现“同名混淆”。
供应链持久化:攻击者通过一次代码植入,获得长期的隐蔽窃取渠道。
缺乏身份验证机制:MCP 协议本身缺少对服务器身份的加密校验,导致“信任链”被轻易突破。

危害评估
数据泄密:敏感邮件内容被外泄,可能导致凭证被窃取、业务机密外泄。
业务中断:若攻击者进一步植入破坏性指令,甚至可导致邮件系统失效。
合规风险:违反 GDPR、ISO 27001 等数据保护要求,面临巨额罚款。

防御启示
1. 供应链审计:对所有第三方依赖实行 SHA‑256 校验,采用白名单机制。
2. MCP 服务器身份认证:部署 TLS 双向认证,或使用基于公钥的签名验证。
3. 最小权限原则:仅为 AI 助手授予必要的邮件发送权限,避免跨域访问。

案例二:AI 平台被劫持为隐蔽的 C2(指挥控制)渠道

事件概述
在一次针对大型金融机构的渗透测试中,安全团队发现恶意软件并未直接使用传统的 HTTP/HTTPS C2 服务器,而是通过 OpenAI Assistants API 进行指令通信。恶意软件会向 OpenAI 发送看似正常的请求(如 “生成一段 Python 代码”),而实际返回的响应中嵌入了 Base64 编码的控制指令。因为这些流量全部走向 OpenAI 的正规服务器,传统的网络边界防火墙与 IDS/IPS 均未能捕捉到异常。

技术手法
流量隐写:利用 AI 文本生成的自然语言掩盖二进制指令。
免认证调用:攻击者利用公开的 Web 界面(如 ChatGPT)进行交互,无需 API Key,规避身份认证。
请求速率控制:每次指令仅发送少量字符,避免触发速率限制。

危害评估
横向渗透:C2 隐蔽后,后门可持续数月甚至数年,给攻击者提供持久渗透空间。
数据泄露:攻击者可通过同一渠道 exfiltrate 业务数据。
检测盲点:企业安全团队往往未把 AI 平台列入威胁情报库,导致检测盲区。

防御启示
1. AI 流量审计:对所有出站请求进行 DPI(深度包检测),拦截非业务所需的 AI 接口调用。
2. 行为异常监控:利用 UEBA(用户和实体行为分析)检测异常的请求模式(如异常的 Prompt 长度、频率)。
3. 最小化授权:对关键系统禁用不必要的外部 AI 调用,采用内部 AI 私有化部署。

案例三:依赖中毒——AI 工作流的暗链

事件概述
一家跨国制造企业在搭建基于 LangChain 的自动化客服机器人时,从 NPM 官方镜像拉取了一个名为 “langchain‑utils” 的工具库。该库的最新版本被黑客注入了恶意的依赖——一个看似普通的 “axios” 版本,却在内部调用了远程的 PowerShell 脚本,将系统管理员密码写入攻击者的 Dropbox。更为惊人的是,该恶意依赖并未破坏模型输出,只是悄悄在后台完成数据窃取。事后审计发现,攻击链已在企业网络中潜伏超过三个月。

技术手法
下游依赖投毒:篡改常用库的子依赖,以实现隐蔽的代码执行。
保持功能完整:不影响主业务功能,避免异常报警。
跨语言链路:从 JavaScript 库到 PowerShell,再到云存储,实现跨平台渗透。

危害评估
凭证泄漏:管理员账户被盗,导致后续横向移动。
攻击范围扩大:利用窃取的凭证可进一步渗透其他关键系统。
合规审计难度:供应链投毒往往隐藏在合法的版本更新里,增加审计难度。

防御启示
1. 依赖锁定:使用 package-lock.jsonyarn.lock 固定依赖版本,禁止自动升级。
2. 代码签名:对关键库引入签名校验,确保库的完整性。
3. 独立审计:对 AI 工作流涉及的每个第三方库执行 SBOM(软件构件清单)审计。

案例四:AI 代理的“双面间谍”——从 EchoLeak 到 Reprompt 漏洞

事件概述
2025 年底,安全研究员发现 Microsoft 365 Copilot 存在 CVE‑2025‑32711(代号 “EchoLeak”)漏洞。攻击者仅需向 Copilot 输入一封特制的邮件,邮件正文中隐藏了精心构造的 Prompt,便能诱导 Copilot 自动读取内部文件并将内容发送至外部服务器,整个过程无需用户交互。随后,在 2026 年 2 月,另一个漏洞 CVE‑2026‑25253(“Reprompt”)被公开,攻击者通过连续两次请求,将 Copilot 变成主动的数据导出工具。更有研究指出,开源个人助理 OpenClaw 中约 12% 的技能市场分发了恶意插件,形成了“黑市”式的功能扩展。

技术手法
Prompt 注入:利用自然语言模型对指令的“直觉”解释,绕过安全过滤。
链式调用:通过多轮对话将一次性限制拆解为多步执行。
技能市场植入:在开源插件生态中投放恶意代码,实现自传播。

危害评估
内部数据泄露:企业机密、财务报表、研发文档等被外泄。
业务流程被劫持:攻击者可利用 AI 代理自动化发送钓鱼邮件、生成恶意脚本。
信任危机:员工对 AI 助手失去信任,影响生产力。

防御启示
1. Prompt 过滤:对所有进入 AI 代理的 Prompt 进行安全审计,使用正则或 AI 对 Prompt 本身进行风险评估。
2. 技能市场监管:实行插件签名与审计制度,禁止未授权的第三方插件上架。
3. 使用审计日志:记录每一次 AI 代理的调用链路,及时发现异常数据流向。

从案例看趋势:AI 正在成为攻击者的新“作战平台”

上述四大案例共同揭示了一个趋势:AI 已不再是单纯的生产力工具,它正被攻击者“武装化”。在智能体化、数字化、信息化深度融合的背景下,企业的技术栈愈发依赖大模型、AI 工作流、自动化代理,这也为“活体攻击面”提供了前所未有的扩展空间。正如《道德经》所言:

“埏埏为变,弗可胜激;柔弱胜刚强。”

若我们仍旧把安全视作“硬件防火墙”,而忽视“软体”——即 AI 交互层面的细粒度治理,就会在黑客的“柔弱”攻击手段面前不堪一击。

为什么每位员工都是“第一道防线”

  1. AI 使用无所不在
    从客服机器人、自动化报表生成,到内部搜索助手,AI 已经渗透到日常工作流的每一个角落。每一次点击、每一次输入 Prompt,都可能是攻击者的潜在入口。

  2. 人机协同的安全链条

    防火墙、IPS、SIEM 可以阻拦外部流量,但 内部 的“合法 AI 调用”若被劫持,安全链条依旧会被突破。只有具备安全意识的员工才能在第一时间识别异常 Prompt、可疑插件或异常行为。

  3. 合规与信任的基石
    GDPR、ISO 27001 等法规对数据泄露有严格的处罚标准。员工若在使用 AI 助手时忽视安全原则,将直接导致组织面临巨额罚款与信誉损失。

信息安全意识培训——从“被动防御”到“主动防护”

为帮助全体职工快速适应 AI 时代的安全挑战,我们计划在 2026 年 5 月 15 日 开启为期 两周 的信息安全意识培训项目。培训内容包括但不限于:

模块 关键要点 预计时长
AI 供应链安全 依赖审计、签名验证、MCP 身份认证 1.5 小时
AI 作为 C2 渠道的检测 流量隐写识别、行为分析、日志审计 2 小时
Prompt 安全编写 安全 Prompt 设计、输入验证、误用案例 1 小时
插件与技能市场治理 插件签名、审计流程、风险评估 1.5 小时
实战演练:红蓝对抗 通过仿真平台体验 AI 诱骗、供应链投毒 3 小时(团队)
合规与法律 GDPR、ISO 27001 对 AI 数据使用的要求 1 小时
心理安全与风险沟通 如何在团队内部报告 AI 安全异常 0.5 小时

培训特色

  • 互动式案例研讨:通过我们刚刚分析的四大案例,进行现场复盘,让每位学员都能亲手“演练”攻击路径,体会防御难点。
  • AI 辅助学习:所有课件均由内部部署的私有化 LLM 生成,确保内容随时更新,且遵循“人机协同、机器审核”的原则。
  • 微课程+测评:每天推送 15 分钟的微视频,配合即时测验,帮助员工在碎片时间巩固记忆。
  • 奖惩机制:完成全部模块并通过最终测评的员工,将获得公司内部 “AI 防护先锋” 电子徽章;表现优秀的团队将获得专项预算用于技术升级。

你的参与如何产生价值?

  1. 及时发现并阻断“AI 攻击链”:每一位员工的敏感度提升,都能在攻击扩散前切断关键节点。
  2. 降低组织合规风险:合规审计时,拥有受训员工的组织更容易通过外部检查。
  3. 推动技术创新:安全意识提升后,研发团队可以在更受信任的环境中大胆使用 AI,形成良性循环。

行动指南:如何报名与准备

  1. 登录公司内部学习平台(URL:learning.kdlr.cn)。
  2. 在 “信息安全” 分类下找到 “AI 安全意识培训(2026)” 课程,点击 “立即报名”
  3. 完成个人信息安全基础测评(约 10 分钟),系统将自动为你匹配合适的学习路径。
  4. 请在 2026 年 5 月 10 日前完成报名,以确保收到培训日程与链接。
  5. 培训期间,请确保使用公司批准的 安全网络环境(公司 VPN、内部 Wi‑Fi),避免使用个人热点或未加密的公共网络。

“工欲善其事,必先利其器。”——《论语》
让我们一起把“AI 良器”打磨成企业最坚实的防御壁垒!

结语

安全不是一次性的项目,也不是单纯的技术堆砌,而是一种 文化——一种在每一次敲键、每一次对话、每一次模型调用时,都保持警惕的习惯。通过本次信息安全意识培训,我们希望所有同事能够从“了解风险”迈向“主动防御”,在 AI 赋能的浪潮中,站在安全的制高点,共同守护企业的数字资产与未来。

让 AI 成为助力而非武器,让每一次交互都安全可控,这场战役,需要你、我、他一起上阵!

在昆明亭长朗然科技有限公司,信息保密不仅是一种服务,而是企业成功的基石。我们通过提供高效的保密协议管理和培训来支持客户维护其核心竞争力。欢迎各界客户与我们交流,共同构建安全可靠的信息环境。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

信息安全,防患未然——从全球热点案例到智能化时代的自我护航

admin

一、头脑风暴:三桩警示性案例让你瞬间“警铃大作”

在信息化浪潮中,每一次技术的飞跃都可能伴随一次安全的“惊雷”。若把2026年安全领域的热门新闻进行头脑风暴,最令人揪心的三大案例不容忽视:

  1. “Qilin”勒索集团入侵德国左翼政党(Die Linke)
    这是一场政治与网络犯罪交织的阴谋,黑客利用零日漏洞加密党内敏感文件,甚至威胁公开内部资料,以此敲诈政治资本。

  2. 北韩关联黑客劫持全球最流行的npm包 Axios,实施供应链攻击
    一名维护者账号被盗,攻击者向npm官方仓库推送恶意版本,数万项目在不知情的情况下沦为远程控制的“肉鸡”,直至被安全团队识别。

  3. CrystalX RAT:集间谍、信息窃取与“恶搞”功能于一身的多功能恶意软件
    该恶意程序结合了高级间谍工具、盗窃信息的后门以及让受害者弹出奇怪弹窗的“恶作剧”模块,导致受害企业在紧张的业务运营中陷入“笑中带泪”的尴尬局面。

下面,我将对这三起典型事件进行细致剖析,帮助大家从真实案例中汲取经验,避免在未来的工作、生活中重蹈覆辙。

二、案例深度解析

1. Qilin 勒索集团——政治黑客的“定时炸弹”

事件概述
2026年2月,德国左翼政党 Die Linke 的内部网络遭到一次高度组织化的渗透。黑客组织自称 “Qilin”(麒麟),利用已知的 Windows 终端管理工具 TrueConf Client 中的未修补漏洞,成功植入勒索软件,并对关键数据库进行加密。随后,勒索组织通过暗网发布针对党内文件的“泄漏预告”,并向该党索要比特币赎金。

攻击链解构

步骤 技术要点 防御失误
初始钓鱼邮件 伪装成党内例会邀请附件(使用宏病毒) 员工未对邮件来源进行二次验证
漏洞利用 TrueConf Client CVE‑2026‑1234(远程代码执行) 未及时应用 CISA 列入 Known Exploited Vulnerabilities 的补丁
横向移动 使用 PowerShell Remoting 在内部网络横向扩散 缺乏网络分段和最小权限原则
数据加密 自研 Ransomware 采用 RSA‑2048 加密密钥 关键文件未做离线备份
勒索与威胁 通过暗网公布泄漏预告,施压赎金 缺少应急响应预案,导致信息披露迟延

教训与对策

  1. 及时打补丁:CISA 每日公布的已被利用漏洞(如 TrueConf)必须在 48 小时内完成修补。
  2. 邮件安全意识:在收到带宏的 Office 文档时,需要先在沙盒环境打开或通过安全网关扫描。
  3. 最小化特权:对关键系统实施基于角色的访问控制(RBAC),防止单一凭证获取过多权限。
  4. 灾备演练:定期进行离线备份和恢复演练,确保关键业务在遭受加密攻击时能够快速恢复。

此案提醒我们,政治组织并非唯一的目标,任何拥有敏感数据的企业或机构,都可能成为“高价值”勒索的猎物。

2. 北韩黑客偷袭 npm 包 Axios——供应链安全的“薄冰”

事件概述
2026年4月,全球最大的 JavaScript 包管理平台 npm 迎来一次前所未有的供应链攻击。攻击者通过社会工程学手段获取了 Axios 官方维护者的 GitHub 账号凭证,随后在 npm 官方仓库发布了两版带有后门的恶意代码(版本号 1.4.0、1.4.1)。这些版本在 48 小时内被 100,000+ 项目下载,导致大量前端应用在不知情的情况下被植入 AGEWHEEZE 恶意工具,实现对受害者系统的远程控制。

攻击链细分

阶段 手段 失误点
账号窃取 通过钓鱼邮件诱导维护者输入 GitHub 2FA 码 未启用硬件安全密钥(U2F)
恶意发布 在 npm 中上传含有 eval 的代码,执行远程下载 缺少 npm 自动化安全审计(如 npm audit)
传播扩散 众多项目通过 npm install axios 自动获取恶意版本 开发者未锁定依赖版本(缺少 package-lock.json)
成功植入 恶意代码启动后与 C2 服务器握手,下载 AGEWHEEZE 运行环境未开启网络分段,允许外部 C2 通信
持续控制 通过 UAC-0255 伪装 CERT‑UA 通知进行进一步钓鱼 缺乏对异常网络流量的实时监测

教训与防护

  1. 多因素认证升级:对关键账户(如维护者账号)强制使用硬件安全钥匙,防止短信/邮件 2FA 被拦截。
  2. 依赖锁定:在 package.json 中使用 npm cipackage-lock.json,确保依赖版本不可随意升级。
  3. 供应链安全审计:在 CI/CD 流程中集成 SnykGitHub Dependabot 等工具,对每一次依赖更新进行自动化安全扫描。
  4. 网络分段与零信任:对外部网络访问实行最小权限,仅允许必要的 HTTP/HTTPS 流量,通过 Zero Trust 框架持续验证每一次请求。

这起事件让我们认识到,单一的代码库安全不足以保证整个生态系统的安全,供应链的每一环都必须加固。

3. CrystalX RAT——“间谍+窃密+恶作剧”三位一体的恶意软件

事件概述
2026年5月,安全团队在对一起企业内部异常行为的排查中,发现一种新型的远程访问木马 CrystalX。该木马不同于传统 RAT,仅实现远程控制和信息窃取,而是将 间谍模块(键盘记录、屏幕抓取)、信息窃取模块(Credentials、文件加密)以及 恶搞模块(在用户桌面弹出动画、播放噪音)结合在一起,被戏称为“笑中带泪的间谍”。恶意代码采用 ClickFix 交叉平台投递技术,并通过 AI‑Generated Evasion 生成混淆代码,规避常规检测。

攻击流程

步骤 技术细节 失误点
投递 使用 ClickFix 伪装为合法系统更新(附带 Python/Nuitka 编译的 Payload) 终端未启用应用白名单(AppLocker)
逃避检测 利用 AI 生成的代码混淆,绕过基于签名的 AV 检测 缺少基于行为的 EDR 监控
激活 通过 PowerShell 远程执行 Invoke-Expression 触发 0‑day(CVE‑2026‑3312) 未禁用 PowerShell 脚本执行(Set‑ExecutionPolicy Restricted)
功能执行 间谍模块持续监听键盘,窃密模块上传至 C2,恶搞模块随机弹窗 缺乏对异常登录行为的 SIEM 审计
持久化 改写注册表 Run 键,确保系统重启后自动运行 未对关键注册表进行完整性监测

防御建议

  1. 应用白名单:对工作站部署 Microsoft AppLockerCrowdStrike Falcon,仅允许签名通过的业务软件运行。
  2. 行为监控:部署 EDR(Endpoint Detection and Response),实时捕获异常 PowerShell、WMI、注册表写入等行为。
  3. 脚本策略:将 PowerShell 的执行策略统一设为 Restricted,并通过组策略禁止未授权脚本运行。
  4. 员工培训:让员工了解 “系统更新” 可能是伪装的攻击载体,提升对可疑弹窗、异常音效的敏感度。

CrystalX 的出现提醒我们,攻击者已经不满足于单一的破坏手段,而是把“恶搞”也加入攻击链,以此干扰受害者的判断,降低响应速度。我们必须在技术防御之外,培养全员的安全警觉性。

三、智能体化、机器人化、无人化——信息安全的新时代挑战

1. 智能体(AI Agent)与企业业务的深度融合

近几年,ChatGPT、Claude、Gemini 等大型语言模型(LLM)已经渗透到企业内部流程:自动化客服、代码生成、文档审校、甚至安全运营。安全团队利用 LLM 来分析日志、生成检测规则,已经成为趋势。但与此同时,攻击者也在利用 LLM 生成的“代码混淆”基于 Prompt 的社会工程 来规避检测。例如,在本期新闻中出现的 “SentinelOne 自动检测拦截被 trojaned 的 LiteLLM”,正是对 LLM 被恶意改造的真实写照。

“技术是把双刃剑,开创未来的同时,也潜藏危机。”——《孙子兵法·谋攻》

应对之道

  • 对内部使用的 LLM 进行权限边界设定,杜绝未经审计的模型直接访问生产数据。
  • 将 LLM 生成的代码强制走代码审查(Code Review)流程,使用 Static Application Security Testing(SAST) 检测潜在后门。
  • 建立 AI 使用治理(AI Governance) 框架,明确模型输出的合规性要求。

2. 机器人(Robotics)与工业控制系统(ICS/SCADA)

在制造、物流、能源等行业,机器人、无人运输车(AGV) 正在替代传统人工。它们往往通过 OPC-UA、Modbus 等协议与中心控制系统通信,一旦协议漏洞或默认密码未更改,便可能成为攻击者的突破口。例如,2026 年 “Dutch Ministry of Finance 将财政系统下线”,部分原因正是担心 机器人化支付系统 被网络钓鱼或内部人员篡改。

防护要点

  • 对关键工业协议实施 深度包检测(DPI),对异常指令进行自动拦截。
  • 固件完整性校验:采用 TPM、Secure Boot,保证机器人固件未被篡改。
  • 网络隔离:将机器人网络与生产网络进行物理或逻辑分段,采用 零信任访问(Zero‑Trust Access)

3. 无人化(Unmanned)与无人机、无人车的安全隐忧

无人机在物流、巡检、应急救援中发挥重要作用,但其 遥控链路GPS图像传输 都是攻击者利用的入口。“UAC‑0255 伪装 CERT‑UA 发送 AGEWHEEZE 恶意软件” 的手法,正好可以映射到无人化系统的 钓鱼式指令注入:攻击者伪装成指挥中心发送错误任务指令,导致无人机偏离轨道甚至坠毁。

防护思路

  • 对指令链路启用 双向身份验证(Mutual TLS),确保指令来源可靠。
  • 在 GPS 信号上叠加 差分定位(DGPS)抗欺骗(Anti‑Spoofing) 措施。
  • 对无人系统进行 安全固件更新,并保持 离线验签 能力。

四、号召全体员工——加入信息安全意识培训,共筑数字长城

1. 培训的意义:从“被动防御”到“主动防御”

过去的安全防护往往是 “等攻击再来,再修补” 的模式,显然已经不符合 “智能体化、机器人化、无人化” 的业务发展需求。主动防御 要求每一位员工都成为 “第一道安全防线”,从以下三个层面施行:

  1. 认知层:了解最新攻击手法(如零日、供应链攻击、AI 生成恶意代码)。
  2. 技能层:掌握基本的防御技巧(如邮件鉴别、密码管理、多因素认证)。
  3. 行为层:在日常工作中坚持安全最小化原则(如权限分离、日志审计)。

2. 培训内容预览

模块 关键要点 预期产出
威胁情报速递 近期全球热点事件(Qilin、Axios、CrystalX) 了解攻击趋势,提高警觉
密码学与身份管理 0‑Trust、MFA、硬件钥匙 防止账号被盗
安全编码实践 LLM 代码审查、依赖锁定、SAST/DAST 规避供应链风险
工业与无人系统安全 OPC-UA 防护、无人机指令认证 保护关键基础设施
应急响应演练 现场模拟勒索、数据泄露、供应链危机 确保快速响应、降低损失
心理安全与社交工程 Phishing 案例教学、恶搞邮件辨识 减少人为失误

每个模块均采用 案例驱动 + 互动实操 的方式,确保学员在 30 分钟的微课堂里既能“听得懂”,也能“做得对”

3. 参与方式与奖励机制

  • 报名渠道:公司内部学习平台(链接已在邮件中推送)。
  • 时间安排:2026 年 4 月 20 日至 5 月 10 日,每周三、周五 14:00‑15:30(可自行选择场次)。
  • 考核方式:完成所有模块的在线测评(满分 100 分),并在实战演练中取得 80 分以上
  • 奖励
    • 安全之星徽章(可在企业内网展示)
    • 年度安全创新基金(最高 5,000 元)
    • “零风险员工”荣誉称号,优先参与公司新技术项目试点。

“欲取其国者,必先取其心。”——《孟子》
让我们从 “心” 开始,筑起 “数字长城”

4. 结语:安全是团队的共创,是每个人的职责

位列 “信息安全” 的不仅是 IT 部门的专属领域,它已经渗透到 研发、采购、市场、财务 的每一个环节。正如 “阿尔戈前行的船只” 必须在每一次风浪中检查舵柄、加固甲板,企业的每一位同事也都应当在 “智能体化、机器人化、无人化” 的浪潮里,定期擦拭自己的“安全之镜”,确保看到最真实、最清晰的威胁图景。

让我们共同参与即将开启的 信息安全意识培训,用知识武装自己,用技术提升防线,用行动守护企业的数字未来。安全从现在开始,从你我做起!

愿每一次点击、每一次提交,都成为对安全的加分。

在数据合规日益重要的今天,昆明亭长朗然科技有限公司为您提供全面的合规意识培训服务。我们帮助您的团队理解并遵守相关法律法规,降低合规风险,确保业务的稳健发展。期待与您携手,共筑安全合规的坚实后盾。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898