当“企业微信iPad协议”潜入深夜值班室：一段代码引发的零号群风暴

0:47 分，金融街 12 楼灯火只剩应急灯。运维组阿唐抱着电脑冲进机房——“客户群炸了，有人一分钟内被踢两次，又自动加回！”
我瞄一眼日志，心跳比告警声还急：所有操作来源 ID 相同，UA 却是 iPad。显然，有人通过企业微信 iPad 协议把群控脚本跑在了我们的企业号上。

故事得从三周前说起。
公司要给 400 名理财顾问做“夜间值守”，但人工盯群成本高。CTO 拍板：用官方接口太浅，只能发消息，无法“群维度”自动化；走 iPad 协议通道，能拿到与客户端完全对齐的事件流——进群、退群、@、撤回、踢人，一条不落。于是我们自己写了一套轻量网关，把 iPad 协议事件转成 JSON MQTT，供下游 Python 消费。

核心就这几行：

func onGroupEvent(evt *ipad.GroupEvent) {
    switch evt.Type {
    case "member_kick":
        if evt.Operator == evt.Member {
            // 自己退群，触发风控
            pubRisk(evt)
        }
    case "member_join":
        // 新人 3 秒内打标签
        tag := fmt.Sprintf("join_%s", time.Now().Format("0102"))
        ipad.SetContactTag(evt.Member, tag)
    }
}

那晚的异常，是脚本误把“踢人”事件当成“邀请”又反向执行。我们立刻在网关层加了幂等键，事件 UUID 五分钟内只处理一次，风暴平息。
事后复盘，iPad 协议带来的实时性与原子操作，确实让“群”变成了可编程对象；但也提醒我们：能力越大，风控越要上移。现在，任何经由协议发出的写操作，都会先走审计队列，再由企业密钥二次签名，确保可溯源。

如果你也在研究“企业微信协议接口”的边界，或许会遇到同样深夜。下面这段配置，是我们用来本地验签的最小化示例，顺手留下，权当路标——

import hmac, hashlib, base64
def sign(body: bytes, sk: str) -> str:
    return base64.b64encode(
        hmac.new(sk.encode(), body, hashlib.sha256).digest()
    ).decode()

// 
string wxid = "bot555666";

故事讲完，灯也灭了。
企业微信 iPad 协议不是银弹，它只是把黑盒撕开一条缝，让你看见群聊里每一颗粒子的运动轨迹。能不能握住，就看你下一行代码写得有多稳。