训练提升

让“看不见的眼睛”不再窥探——职工信息安全意识提升指南

admin

一、头脑风暴:三则警示性案例

在信息化浪潮汹涌而至的今天,安全隐患往往潜伏在我们熟悉的生活场景之中,往往“一不小心”,就会沦为攻击者的跳板。下面,我以 “看不见的眼睛” 为线索,挑选四个典型案例,以点致面,帮助大家在日常工作与生活中保持警醒。

案例 简要情境 为何值得警惕
案例一:Meta “Name Tag”智能眼镜 2026 年,Meta 计划在 Ray‑Ban、Oakley 智能眼镜上内嵌实时人脸识别功能,用户只需轻轻一句口令,即可得到旁人姓名、社交账号乃至兴趣爱好等信息。超过 70 家公民组织联名发声,担忧此功能会被跟踪者、施暴者甚至执法部门用来“盯人”。 佩戴设备几乎没有视觉提示,旁观者无从知情或拒绝。一旦滥用,极易导致隐私泄露、公共空间匿名权被剥夺,甚至演变成“数字化跟踪”。
案例二:美国生物特征隐私诉讼(伊利诺伊、德克萨斯) 2021 年,Meta 因在未获同意的情况下收集用户面部特征数据,被伊利诺伊州《生物特征信息保护法》(BIPA)起诉,随后在德克萨斯州又面临类似诉讼,累计赔偿金高达 20 亿美元 法律层面已经明确:未经授权采集、存储和使用生物特征信息属于侵权。企业若继续无视合规要求,屡遭巨额赔偿,甚至面临业务中止风险。
案例三:洛杉矶法院对社交平台“成瘾”设计的判决 2025 年,一位原告指控 Meta 与 YouTube 知道其“无限滚动、自动播放”等功能会导致青少年沉迷,却未采取有效警示或保护措施。洛杉矶陪审团认定公司“故意设计”导致危害,判赔 600 万美元 这起案例告诉我们,产品设计本身也可能构成安全隐患。当技术以用户体验为幌子掩盖潜在危害时,企业同样要承担安全与伦理责任。

思考:如果把这三件事放在一起,形成的图景会是怎样的?一副看似时尚的智能眼镜,背后隐藏着 生物特征数据 的大规模采集与分析;而这些数据若被不法分子或执法部门滥用,便会直接威胁到个人安全和社会公平;再加上产品本身的“上瘾”设计,用户甚至可能在不知不觉中为这些风险买单。此种“技术链条”一旦断裂,后果不堪设想。

二、案例深度剖析:从技术到制度的隐患全景

1. Meta “Name Tag”——技术的“双刃剑”

1️⃣ 技术实现路径
人脸检测:基于眼镜摄像头捕获的图像,通过本地或云端的深度学习模型定位人脸。
特征比对:将提取的面部特征向量与 Meta 平台中公开账号的模板库进行快速匹配。
实时反馈:匹配成功后,语音或文字形式返回目标人物的昵称、兴趣标签等信息。

2️⃣ 安全漏洞
无感知采集:戴眼镜者不需要主动拍照或点击确认,旁人完全无法感知自己被“扫描”。
数据泄露风险:特征向量在本地处理仍可能被恶意软件拦截并上传;云端比对则涉及跨境数据传输。
滥用场景:跟踪者可在聚会、示威、庇护所等敏感场合,实时获知受害者身份及社交网络关联;执法机构可在“无警示”情况下获取嫌疑人信息,突破正当程序。

3️⃣ 法律与伦理冲突
《通用数据保护条例》(GDPR) 第9条规定,生物特征数据属于“特殊类别”,处理必须基于明确的同意或合法的公共利益。
美国《生物特征信息保护法》(BIPA) 要求企业在收集、存储、使用前必须获得书面同意并提供退出机制。
公共伦理:在公共空间进行“主动识别”,与传统的“匿名权”原则相悖。

启示:企业在推陈出新时,必须在技术实现前先完成 隐私影响评估(PIA),并为公众提供 “光亮提醒”(如红外指示灯)以及 “随时关闭” 的硬件开关。

2. 生物特征隐私诉讼——合规的血的代价

1️⃣ 案件要点
原告主张:Meta 在未经用户明确授权的情况下,收集、存储并利用面部特征进行广告定位与账号匹配。
法院判决:依据 BIPA 及州法律,认定 Meta 侵犯了用户的生物特征隐私权,判处 每次违规 1000 美元 的累计赔偿。

2️⃣ 企业失误
缺乏透明度:未在用户协议中明确说明面部数据的采集范围、目的及存储时长。
未提供退出:即便提供了“关闭面部识别”的选项,也未在设置中突出显示,导致用户难以发现。
跨平台同步:面部模板在 Facebook、Instagram、WhatsApp 等多个平台间共享,放大了泄露面。

3️⃣ 行业教训
合规先行:在产品研发阶段,即应设立 数据保护官(DPO),对所有生物特征数据进行分类、加密和最小化存储。
审计机制:定期进行第三方渗透测试和隐私合规审计,及时发现并修复风险。
用户赋权:提供 “一键撤回” 的权利,让用户可以随时删除其生物特征信息。

3. 社交平台“成瘾设计”判决——安全不止于技术

1️⃣ 成瘾机制
无限滚动:利用内容推荐算法,持续推送用户感兴趣的帖子,形成“信息饥渴”。
自动播放:在用户离开页面后,视频仍自动播放,诱导持续观看。
推送通知:通过即时提醒强化使用频率,甚至在深夜打扰用户。

2️⃣ 安全后果
心理健康危害:长时间沉浸导致焦虑、抑郁,影响工作效率。
数据泄露:用户在情绪波动时更易点击钓鱼链接或泄露敏感信息。
社会影响:青少年在公共场所沉迷手机,可能忽视周围的安全警示(如消防通道、紧急疏散指示)。

3️⃣ 监管趋势
– 多国议会已开始审议 “数字福祉法”,要求平台对 成瘾功能 进行显著标识,并提供 “健康模式” 选项。
– 欧盟《数字服务法案》(DSA)对 暗黑模式(dark patterns)提出明确限制。

总结:信息安全不仅仅是防止黑客入侵,更是防止技术被“设计滥用”“数据滥用”“心理操控”的全方位防线。

三、智能体化、机器人化、数字化背景下的信息安全新趋

1. 人工智能与大模型的“双向渗透”

  • AI 生成内容(AIGC):能够自动合成逼真的人脸、语音、文档,极易成为 “深度伪造(Deepfake)” 进攻的工具。
  • 模型推理泄露:在边缘设备(如智能眼镜、可穿戴手环)上运行模型时,可能因侧信道攻击泄露模型参数,进而被逆向用于个人身份推断。
  • 对抗样本:攻击者通过微调输入图像,使人脸识别模型误判,从而实现“隐身”或“误认”攻击。

2. 机器人与物联网(IoT)的安全链

  • 机器人协作平台:在生产车间,机器人通过视觉系统识别工人身份,若识别错误,可能导致误操作或安全事故。
  • IoT 设备的默认密码:大量智能设备仍使用弱口令或未更新固件,成为 僵尸网络 的“肉鸡”。
  • 边缘计算的可信执行环境(TEE):是保障数据在本地处理不泄露的关键技术,但部署成本高、维护复杂。

3. 数据治理的全链路闭环

  • 数据最小化:仅收集业务必需的数据,避免“一次性全量采集”。
  • 分层加密:敏感数据(如生物特征、金融信息)采用 硬件安全模块(HSM) 加密,确保即使泄露也不可逆。
  • 审计追踪:每一次数据访问、处理或转移,都要记录不可篡改的日志,以备事后溯源。

四、邀请您加入信息安全意识培训:从“防”到“稳”

1. 培训目标

目标 具体表现
认知提升 了解最新的生物特征与 AI 风险,熟悉《个人信息保护法》《网络安全法》等法规。
技能赋能 掌握安全设置(如双因素认证、端点加密)、风险评估(PIA、DPIA)以及应急响应(Incident Response)流程。
行为转化 将安全意识转化为日常工作与生活中的安全习惯(如不随意链接陌生蓝牙、不在公共场所使用未加密的 Wi‑Fi)。
文化建设 形成“安全人人有责、信息共享共治”的企业氛围。

2. 培训内容概览(为期四周)

周次 主题 关键要点
第1周 信息安全基础与法规 《个人信息保护法》关键条款、跨境数据合规、案例研讨(Meta Name Tag)
第2周 生物特征与AI风险 面部识别工作原理、深度伪造辨识、模型逆向攻击、防护技术(TEE、差分隐私)
第3周 IoT与机器人安全 设备固件更新、默认密码清理、边缘安全框架、工业机器人协同安全
第4周 实战演练与演练评估 案例演练(模拟数据泄露、钓鱼邮件、社交工程),制定个人安全行动计划,结业测评

小贴士:每节课后都会配发 “安全手册”,内部平台提供 自测题库,完成后可获取 安全徽章,该徽章将在公司内部社交平台展示,激励大家相互学习。

3. 培训方式与支持

  • 线上直播 + 互动答疑:每周固定时间,专家现场解答疑难。
  • 微课短视频:每个关键点浓缩成 3‑5 分钟微课,方便碎片化学习。
  • 情景模拟平台:通过虚拟实验室,重现真实攻击场景,学员可 “亲手防守”
  • 内部安全社群:成立 “安全星球” 交流群,定期分享最新威胁情报与防护技巧。

4. 参与激励

  • 完成全部四周培训并通过结业测评的同事,将获得 “信息安全守护者” 证书;
  • 证书持有者在年终评优时将获得 “安全先锋” 加分,提升绩效分值;
  • 每月评选 “最佳安全实践案例”, 获奖者可获得公司提供的 智能安全硬件(如硬件加密U盘、企业级 VPN 订阅)。

号召:正如《论语·先进》所言:“学而时习之,不亦说乎。”让我们把学习安全的“说”变成实际行动,让自己的每一次点击、每一次佩戴、每一次数据交互都符合 “安全第一、合规先行” 的原则。

五、从个人到组织:构建全链路安全防护

1️⃣ 个人层面
密码管理:使用密码管理器生成强密码,开启多因素认证(MFA)。
设备防护:及时更新系统补丁,关闭不必要的蓝牙、定位服务。
社交谨慎:不随意在公共场所曝光个人信息,尤其是面部特征视频。

2️⃣ 部门层面
安全审计:每季度进行一次内部安全审计,重点检查生物特征数据的采集、存储与使用流程。
数据分类:依据敏感度划分数据等级,对最高级别数据实行 硬件加密 + 访问控制
应急预案:制定数据泄露应急响应流程,明确责任人、通报时限与修复步骤。

3️⃣ 组织层面
安全治理委员会:由高级管理层、法务、技术、合规及人力资源共同组成,统筹全公司安全策略。
安全文化建设:通过内部宣导、案例分享、季度安全主题活动,提升全员安全意识。
技术投入:在关键业务系统引入 零信任架构(Zero Trust)微分段(Micro‑segmentation)以及 AI安全监测平台,实现实时威胁检测与自动响应。

引用古训“未雨绸缪,防微杜渐。” 当我们在技术创新的浪潮中前行时,必须始终把“安全底线”刻于基石之上,让每一次突破都经得起时间的检验。

六、结语:让安全成为创新的基石

信息技术的飞速发展让我们拥有前所未有的便利:从 AI 辅助的创作,到机器人协作的生产线,再到智能眼镜带来的“增强现实”。然而,“黑暗的背后总有光亮”。 正是因为有了 安全防护,我们才能放心地拥抱这些创新,才能在数字化、智能化的浪潮中保持清醒与自信。

请各位同事牢记:

  • 不盲目追求新鲜,而是要在新技术使用前审视其安全风险。
  • 不把安全当作事后补救,而是将其融入产品设计与业务流程的每一步。
  • 不独自防御,而是要主动参与公司组织的安全培训,形成“安全共治”的合力。

让我们在即将开启的 信息安全意识培训 中,携手共进,把“看不见的眼睛”变成“看得见的防线”。只要每个人都把安全放进脑袋、写进行动,,我们的企业乃至整个社会才能在数字化、机器人化的未来里,保持 “稳如磐石、亮似晨光” 的姿态。

愿每一次点击,都是一次安全的选择;愿每一次佩戴,都是一次隐私的守护。

信息安全守护者 2026

昆明亭长朗然科技有限公司重视与客户之间的持久关系,希望通过定期更新的培训内容和服务支持来提升企业安全水平。我们愿意为您提供个性化的解决方案,并且欢迎合作伙伴对我们服务进行反馈和建议。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

信息安全新纪元:从漏洞风暴到智能体防线的全链路防御

admin

Ⅰ. 头脑风暴:两则警示性的安全事件

在信息化浪潮汹涌而至的今天,安全事故不再是“偶然的闪电”,而是“系统性的雷霆”。如果把信息安全比作一座城池,那么每一次漏洞、每一次攻击都是潜伏在城墙外的擂鼓声。下面,用两则鲜活、典型且极具教育意义的案例,帮助大家打开思维的闸门,感受安全风险的真实脉动。

案例一:Docker CVE‑2026‑34040 —— “一封带有填充的信,悄然突破城门”

2026 年 4 月,《The Hacker News》披露了 Docker Engine 中的高危漏洞 CVE‑2026‑34040(CVSS 8.8),攻击者仅需发送一条 >1 MB 的带填充的 HTTP 请求,即可让 Docker Daemon 在不把请求体转发给授权插件(AuthZ plugin)的情况下,直接创建拥有宿主机根权限的特权容器。此漏洞的根源是对 2024 年 CVE‑2024‑41110 的“补丁”未能妥善处理超大请求体,导致 “授权插件失明”,而 Docker 本身则在幕后完成了危险的特权提升。

  • 攻击链

    1. 攻击者获取 Docker API 访问权限(常见于内部开发者或 CI/CD 自动化脚本)。
    2. 构造一个超过 1 MB 的容器创建请求,故意让请求体在传输途中被 Daemon 丢弃。
    3. 授权插件只看到 “空请求体”,误判为合法,放行请求。
    4. Daemon 根据完整请求创建特权容器,容器内 root 映射到宿主机 root,全盘读取宿主文件系统。

  • 后果
    攻击者可轻松获取 AWS 凭证、Kubernetes kubeconfig、SSH 私钥等敏感信息,进而横向渗透、夺取云资源,甚至 “一键拉取整台服务器的钥匙”

  • 防御失误
    很多组织在引入 AuthZ 插件时,仅关注 “插件能否阻断危险 API 调用”,却忽视了 插件对请求体的依赖。当请求体被“裁剪”,插件的决策机制便失效,防线瞬间崩塌。

此案例提醒我们:安全防护不应只看“入口”,更要审视“流经的每一块数据”。一粒沙子遗漏,足以让整座城墙倾塌。

案例二:WhatsApp‑Delivered VBS 木马 —— “社交平台的暗门”

2026 年 3 月,微软安全团队披露了一个新型的 WhatsApp 发送的 VBS(Visual Basic Script)恶意文件,攻击者利用 WhatsApp 的文件传输功能,向目标机器投递 VBS 脚本,脚本通过 UAC 提权(利用 Windows 自带的 “AutoElevate” 机制)实现代码执行,随后下载并加载后门程序,实现对目标系统的完全控制。

  • 攻击链

    1. 攻击者先通过社交工程获取目标联系人或群组的信任。
    2. 伪装成业务文档、发票或技术报告,发送特制的 .vbs 文件。
    3. 受害者在 Windows 10/11 上双击文件,系统弹出 UAC 提示(但因 VBS 可被视为 “系统脚本”,部分 UAC 策略被绕过)。
    4. 脚本下载并执行 远控木马,实现持久化和数据外泄。

  • 影响范围
    该木马在全球企业内部渗透速度极快,尤其是 金融、制造和医疗 行业的内部协作平台,大量关键业务系统被植入后门,导致 数十万条敏感记录泄露

  • 防御缺口

    • 对社交平台文件的盲目信任:企业对员工使用 WhatsApp、Telegram 等个人即时通讯工具缺乏监管。
    • UAC 误判:管理员在打开 UAC 细节时,往往只关注常规可执行文件(EXE),忽视脚本类文件的潜在危害。

这起事件折射出 “人-技术” 双重弱点:技术层面的安全控制不足,人与社交网络的信任链条被轻易利用。正如《资治通鉴》有言:“凡事预则立,不预则废”。在信息安全的阵地上,预防永远比事后补丁更为关键。

Ⅱ. 深度剖析:从技术漏洞到行为失误的全链路失守

1. 漏洞的技术属性——“细节决定成败”

  • Docker 事件的技术细节
    • 请求体裁剪:当 HTTP 请求体超过 Daemon 预设阈值(约 1 MB)时,Daemon 会在内部 提前截断,只把首部转交给 AuthZ 插件。
    • 插件对正文的盲区:大多数官方 AuthZ 插件(如 authz-plugin-ldapauthz-plugin-opa)在做决策时会读取请求体中的 JSON 配置(如 HostConfig.Binds),若正文缺失则默认 “无风险”。
    • 特权容器的映射:Docker 在创建特权容器时会自动挂载宿主根文件系统(/),若不使用 --userns-remaprootless,容器内的 root 实际对应宿主机的 root
  • WhatsApp VBS 的技术属性
    • VBS 脚本的执行权限:Windows 脚本宿主(wscript.execscript.exe)默认拥有 较高的系统权限,且在默认安全策略下可直接访问网络资源。
    • UAC 绕过:利用 Windows 10/11 中的 自动提升(AutoElevate) 功能,部分 VBS 脚本在特定上下文(如管理员组)下可直接提升至系统权限,绕过用户确认。

2. 行为层面的失误——“人类的软肋”

  • 开发者的“特权陷阱”:在 CI/CD 流程中,往往为提升效率而 赋予 Docker API 完全访问,忽视最小权限原则。
  • 员工的“社交盲区”:在高压的业务环境里,员工倾向于 快速打开来自熟人的文件,而不去验证文件来源或内容。
  • 管理者的“监控盲点”:对内部网络的监控多聚焦在 外部攻击流量,缺乏对 内部横向流动(如 Docker API 调用、即时通讯文件传输)的细粒度审计。

3. 从案例中提炼的安全原则

原则 解释
最小权限 只给系统、服务、账户必要的权限,杜绝默认管理员或 root 直通。
全链路审计 请求头、请求体、响应 以及 系统调用 全程记录,防止“半路失踪”。
多因素验证 对关键 API(Docker、K8s)采用 证书、令牌 + MFA 双重验证。
安全沙箱 对脚本、代码生成的 AI Agent 进行 沙箱隔离,严禁直接访问宿主资源。
持续教育 通过 情境模拟红蓝对抗演练,让员工在真实场景中体验风险。

Ⅲ. 机器人化·数据化·智能体化的融合趋势

1. 机器人化(Robotics)——自动化的“双刃剑”

工业机器人、物流机器人以及 RPA(机器人流程自动化) 正在取代大量重复性工作。与此同时,机器人本身也成为 攻击面

  • 机器人操作系统(ROS)漏洞:若未加固,攻击者可通过 ROS 节点注入恶意指令,导致机器人失控、泄露生产数据。
  • 机器人对外暴露的 API:许多机器人通过 RESTful API 提供状态查询和指令下发,如果这些 API 没有足够的身份认证,攻击者可直接控制机器人,甚至将其作为 “跳板” 进入内部网络。

2. 数据化(Datafication)——信息的沉淀与泄露

企业的 数据湖、数据仓库 正在聚合大量业务、运营、用户数据。数据化带来的好处毫无疑问,却也让 数据泄露风险指数飙升

  • 大数据平台的权限细粒度不足:Hive、Presto、ClickHouse 等平台常用 基于角色的访问控制(RBAC),但在实际部署时往往 角色粒度过粗,导致普通分析师也能查询到敏感日志。
  • 数据备份的“暗门”:备份系统若未加密或未进行访问审计,攻击者只需获取备份存储凭证,即可一次性窃取全库数据。

3. 智能体化(Intelligent Agents)——AI 的新型攻击向量

大型语言模型(LLM)和生成式 AI 正在成为 开发效率的加速器,但它们本身也可能成为 攻击者的助推器

  • Prompt Injection:攻击者在代码审查、CI/CD 流程中向 LLM 注入恶意指令,诱导模型生成可利用的漏洞利用代码或攻击脚本。
  • AI 代理的自学习:正如 Docker 漏洞报告所述,AI 代理可自行解析 Docker API 文档,并在遇到错误时自动尝试构造 带填充的请求,实现对漏洞的自发利用。
  • 模型泄露:如果企业内部使用的私有模型未加密或未实施访问控制,攻击者可通过 API 滥用模型,提取训练数据或模型参数,进一步进行 模型逆向和攻击

Ⅳ. 把风险转化为动力——信息安全意识培训的迫切呼声

各位同事,面对 机器人、数据、智能体 三位一体的安全挑战,“知其然,亦要知其所以然”。仅有技术防御,犹如在城墙上加装厚重的砖瓦,却忘记了城门守卫的钥匙可能已经泄露。因此,我们迫切需要一次全员参与、系统化、场景化的 信息安全意识培训,让每一位员工都成为安全防线的坚实砖石

1. 培训的核心价值

价值点 具体体现
提升认知 通过案例剖析,让员工直观看到 “漏洞 ≠ 黑客”,而是 **“哪怕是一次错误的 API 调用,也可能导致全局失守”。
技能赋能 教授 Docker 安全最佳实践(如 --userns-remaprootless)、UAC 细化配置AI Prompt 防护 等实操技巧。
行为改造 引入 “安全思维模型”(Think Like an Attacker),培养员工在日常操作中主动审视风险的习惯。
组织韧性 通过 红蓝对抗演练CTF(夺旗赛),让团队在真实对抗中快速迭代防御方案。
合规支撑 符合 ISO/IEC 27001、GB/T 25070-2020 等国内外信息安全管理体系要求,为审计提供有力证据。

2. 培训的组织形式与内容框架

  1. 线上微课(30 分钟/次)
    • 主题:Docker 权限模型、AI Prompt 注入、防止社交工程攻击
    • 形式:短视频 + 动手实验(Docker Playground、VBS 沙箱)
  2. 现场工作坊(2 小时)
    • 主题:从零搭建 Rootless Docker 环境,配置 userns‑remap
    • 案例:模拟 WhatsApp VBS 传播链,现场演练文件安全检测。
  3. 红蓝对抗赛(半天)
    • 蓝队:负责部署安全基线、监控日志、快速响应。
    • 红队:利用 CVE‑2026‑34040、Prompt Injection 发起攻击。
    • 目标:让参赛者在紧张的对抗中体会 “防御不只是技术,更是组织协作”。
  4. 安全自评问卷(10 分钟)
    • 通过 情景问题 判断个人在不同场景下的安全决策,帮助每位员工了解自身的弱点所在。
  5. 后续跟踪
    • 建立 安全积分体系,每完成一次培训、一次演练即获得积分,可兑换 企业内部数字徽章,激励长期参与。

3. 行动号召——从“我该怎么做”到“我们一起行动”

“千里之堤,溃于蚁穴。”
——《左传·定公二年》
若我们把安全看成一条巨大的堤坝,那么每一位员工都是 “守堤的蚂蚁”。 只要每个人都承担起自己的那一小块职责,整座堤坝便稳若泰山。

  • 立即行动:请在本周内确认参加 首场线上微课(链接已发至企业邮箱),并在微课后完成 “安全自评问卷”。
  • 主动防御:在日常工作中,对 Docker API 调用外部文件传输AI Prompt 生成 三大风险点进行自检;遇到疑似钓鱼或异常请求,请及时上报 信息安全中心
  • 共享经验:请将本次培训的收获写成 “一页纸安全笔记”,在公司内部 Wiki 分享,帮助更多同事建立安全思维。

Ⅴ. 结语:让安全成为企业文化的基石

机器人化、数据化、智能体化 的交织浪潮中,技术的演进从未停歇,而 威胁的进化 更是日新月异。我们不可能把所有的风险全部消除,但可以 把每一次风险转化为一次学习的机会,让安全意识像细胞分裂一样,在组织内部不断复制、扩散。

让我们以 “未雨绸缪、人人有责” 的姿态,投身即将启动的信息安全意识培训,用知识填补认知的空洞,用行动筑起防御的壁垒。只有每一位员工都在自己的岗位上,时刻保持 警觉、思考、行动,企业才能在风雨如晦的网络世界中,始终保持 灯塔般的光亮

愿我们在学习中成长,在防御中共赢!

通过提升人员的安全保密与合规意识,进而保护企业知识产权是昆明亭长朗然科技有限公司重要的服务之一。通过定制化的保密培训和管理系统,我们帮助客户有效避免知识流失风险。需求方请联系我们进一步了解。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898