3·15 那波 fake TCM expert 的 exploit,说到底不是医术问题,是处方权在私域里被 unauthorized access 了。这帮人在微信群里搞「一人多方」,既没有四诊合参的输入校验,也没有病历留痕的 audit log,更不用提药师审核的 secondary check——整个流程就像 production 环境被人关掉了 auth 层,直接往 patient data 里写处方。
简单说
他们把「辨证建议」包装成「用药指导」,本质是在打 interface 的擦边球,绕过《药品管理法》的权限校验。这种 attack vector 靠封号根本防不住,kill -9 进程没用,换个 IP 又能重来。真正的 fix 应该是把中医 AI 辅助诊断系统接入省级监管平台,给每张电子处方加上完整的 stack trace,从问诊到发药全链可溯、权责可追。处方权是核心 API,绝对不能代签。
