张江锁代码事件最新后续来了!公司不仅夺回了全部权限和代码,还把抱团的外籍小团伙一锅端了——涉事的印度籍组长,连带他7个同校校友员工,全部被辞退。
这场只持续了两天的技术风波,也给国内整个科创行业敲了个警钟。核心代码是科技公司的命根子,正规公司本该搭好层层制衡的权限体系,就怕有人攥着核心技术要挟公司。可张江这家企业光顾着冲业务拓市场,内部风控压根没放在心上,才闹出这么大的乱子。
事情得从四个月前说起,这家张江的民营软件公司为了打造“国际化团队”,招了位印度籍研发组长。当时HR和管理层都觉得,外企背景的技术人才带着国际视野,能给团队注入新活力。谁也没多想,就把代码仓库的最高权限直接交了出去,连个权限分级都没设置。
这位组长入职后倒是“动作迅速”,短短三个月里,陆续把7个同校校友招进了核心研发组。要知道这个核心小组总共才9个人,一下子被同乡校友占了7个名额,本土研发人员很快就被边缘化了。他们平时技术讨论都用印度方言,重要决策也在小圈子里敲定,本土员工想参与核心模块开发,要么被以“技术不匹配”拒绝,要么拿不到关键代码权限。
有个本土程序员后来透露,他负责的模块需要调用底层算法,找印度组长申请权限,对方拖着不批,说“我来帮你处理”,结果一等就是两周,最后还是自己绕路写了替代方案才赶上线。慢慢的,整个团队的核心代码,从架构设计到底层逻辑,几乎全被这个小团伙攥在了手里。
转折点出现在6月底的一个周五,公司接了个紧急项目,需要跨组调用核心代码库。技术总监让手下工程师调数据,才发现所有关键权限都被锁死了,只有那位印度组长和他的校友能操作。更要命的是,组长当天还以“家里有事”请假,电话不接、消息不回,整个项目直接卡壳。
管理层这才慌了神,连夜开会紧急处理。他们尝试用管理员账号登录,发现密码已经被修改;联系服务器运维,得知对方早就把运维权限也拿走了。没办法,公司连夜请了第三方安全公司,凌晨三点赶到机房,先切断了核心服务器的外部网络连接,防止代码被外传。
技术人员和安全专家一起熬夜排查,通过服务器日志追溯,发现这位组长一周前就开始批量修改权限配置,把所有核心模块的访问权都集中到自己和7位校友的账号下。好在公司有个被遗忘的异地备份,每天凌晨自动备份一次代码,安全团队靠着这个备份,花了12个小时终于恢复了核心代码的控制权。
周六上午,公司成立了法务、HR和技术组成的联合调查组,直接约谈那位印度组长。面对权限修改记录和日志证据,对方一开始还辩解是“优化权限管理”,直到被问到为什么批量招录同校校友、为什么修改管理员密码,才哑口无言。
没等对方找借口,公司当场出具了解除劳动合同通知书,不仅辞退了这位组长,还对另外7位参与抱团垄断权限的校友员工一并解约。有传言说其中两人想求情,说自己只是“跟着做事”,但公司态度很坚决,核心岗位容不得半点权限风险。
这场风波前后只持续了两天,却让公司惊出一身冷汗。事后排查发现,除了权限设置形同虚设,公司连基本的竞业禁止协议都没让核心技术人员签,招聘时也没注意团队构成的合理性,才给了外人可乘之机。
现在公司已经紧急整改,重新搭建了权限体系:核心代码采用双人共管模式,任何修改都需要两个不同部门的人审批;限制单一国籍员工在核心小组的占比,不能超过30%;所有代码操作日志永久留存,管理层可以实时查看;最重要的是,核心代码每天进行异地多机房备份,就算本地服务器出问题也能快速恢复。
值得澄清的是,网上传的“张江技术被偷”“有组织跨境传输”都是谣言。经核查,没有证据显示这些员工把代码外传,事件本质就是企业内控漏洞导致的权限失控。而且这只是个案,不能因此否定所有外籍员工,关键还是公司要把管理体系搭好。
就像之前浦东新区检察院办理的人工智能领域商业秘密案,那家公司也是因为权限管理松散,才被创始人之一偷走核心代码,最后虽然追回了损失,但研发进度耽误了大半年。这次张江这家公司算是幸运的,发现及时、备份齐全,没造成实质性的技术泄露和经济损失。
其实科创公司的风控真不是可有可无的东西。现在很多企业都忙着冲业务、拓市场,觉得只要技术强、订单多就行,把风控当成“累赘”。可恰恰是这些被忽视的细节,最容易出大问题。核心代码就像公司的命根子,一旦被人攥在手里要挟,要么妥协让步,要么就得承受巨大损失。
这场两天就平息的技术风波,更像一面镜子,照出了很多科创公司的管理短板。不是说不能招外籍员工,也不是说不能搞团队建设,但凡事得有规矩、有制衡。权限不能一人独大,团队不能搞小圈子,流程不能形同虚设,这些都是血淋淋的教训。
说到底,科创公司拼的不仅是技术和市场,更是管理和风控。

