12月22日晚,快手多个直播间同时出现涉黄、血腥等违规内容。此后有消息称,相关异常直播账号多达1.7万个,攻击持续了60~90分钟——目前这个数据没有被证实,也尚未被辟谣。
而当晚,快手发公告回应:22时左右,平台遭到黑灰产攻击,已紧急处理修复中,并已报警。
用户截图显示出平台应对攻击的痕迹,当晚,快手直播功能一度停摆,全线停播。
直播功能一度停摆
天亮后,快手再发公告:经全力处置与系统修复,快手应用的直播功能已逐步恢复正常服务,其他服务未受影响。
这是一次罕见且张扬的网络攻击。不只因为被破防的是头部互联网大厂,更因为“直播”历来是安全等级最高的、风控最严密的核心业务,而如此大规模、集中针对直播的攻击此前几乎没有先例。
在南风窗发去询问之后,快手方面没有透露多于公告的事故细节。平台的实名制、内容审核机制等一系列常规防线是怎样被突破的,攻击者的动机是什么,尚未有明确答案。
基于有限的信息,我们采访了多位网络安全工作从业者,试图理解这场“直播事故”背后的攻防逻辑。
这起事件并不是吃瓜的猎奇事件,或平台翻车的又一谈资,它把隐秘而严肃的“网络攻防战”推到了台前——它真实影响着平台秩序、用户体验与公众利益。
直播是平台的核心业务之一,也是风控等级最高的内容形态。按照常规流程,“网络主播实名制”要求,用户要开播,必须通过实名制认证;内容被推荐和展示之前,还需经过内容审核系统判定风险。
那么,大量明显违规的直播,是如何绕过这些防线,顺利开播并出现在用户眼前的?
吴崖斌在一家网络安全公司担任顾问,为党政机关提供网络安全咨询服务。在他看来,同时出现上万个账号去参与涉黄,且内容基本上都是提前录制好的,攻击大概率并非临时起意。
要实现这一点,攻击者首先需要掌握大量可用账号。“你至少得有1.7万个手机号和个人身份信息,才能在短时间内发起直播。”吴崖斌说。
在地下黑灰产链条中,围绕“实名认证”的产业并不稀奇。攻击者并不需要直接破解平台系统,而是通过“接码平台+猫池”的方式,绕过实名认证流程。
图源:pexels
所谓“接码平台”,是专门用于接收短信验证码的中介;而“猫池”,则是由卡商集中管理的大量SIM卡设备,这些卡可能来自非正规渠道,甚至部分并未与真实使用者建立清晰绑定。卡商囤积大量手机号码,提前上传身份证、银行卡号,按平台流程注册养号,攻击者只要付费,就能获得这些账号。
“一个账号成本几毛钱到几块钱不等。”吴崖斌说。
从平台角度看,手机号码在运营商处已完成实名登记,平台通过动态的短信验证码与运营商建立信任关系——验证码正确,就默认通过了实名认证,判定这是“真实的一个人”。
“平台不是公安系统,它只能验证‘这个号码是可用的’,开放直播权限。”吴崖斌说,但手机号究竟是正常用户、不知情的信息被盗者,还是被批量操控的黑卡或虚拟号码,却不容易区分。
绕过实名制,第二道防线便是内容审核。
2025年9月,快手安全算法中心负责人刘梦怡在公开演讲中分享快手安全大模型技术,对海量内容审核已经从“人力标注”转向“自动化标注+人工辅助校验”,效率和覆盖面都有显著提升,只需要少量的人工介入。
《骇客交锋》剧照
但在这次事件中,这套机制却未能及时阻断违规内容。
吴崖斌推断,这可能并非单点失效,而是“系统性超载”。
快手遭受攻击的夜间22时,是直播高峰期,也是人手薄弱的时间段。
但对用户量过亿的快手来说,1.7万个账号同时开播违规内容,是否足以突破审核的极限?
吴崖斌告诉南风窗,和图文审核不同,直播审核是一项实时、大流量、高负荷的任务:视频流量远高于图文内容,每一秒都包含图像、语音、文本等多重信息,需要实时抽帧、识别、分析。“对机器来说,负荷是不一样的。短时间内涌入大量的直播用户,那么多疑似违规的直播,AI也需要时间的,也是有上限的。”
与此同时,人工审核同样面临极限。面对成千上万路直播流,有限的人工审核员也无法在极短时间内逐一处置。“最后可能就是系统忙不过来,人也忙不过来。”吴崖斌说。
网络流传出的工作人员聊天记录
审核面对大量超负荷的待处理信息,为什么不是积压内容而是直接流出?
吴崖斌解释,如果排除黑客直接攻击内容审核系统的可能性,或者内鬼篡改了大模型判定风险的阈值等情况,这和“可用性”与“安全性”的优先顺序有关。
对平台而言,首要目标是保证业务正常运行不中断,毕竟平台上还有大量正常用户在使用直播。因此在异常初现端倪时,平台往往会选择先维持直播可用,再逐步清理风险内容。当异常规模远超预期,平台最终“关停直播”,是通过牺牲可用性,换取整体风险可控。在直播暂停期间,安全团队、风控团队、运维团队会集中进行溯源、识别与清理异常账号,只有在风险被压降后,业务才重新开放。
“对此次事件的话,平台肯定也是想优先保证直播业务不中断,再一条条去审核判罚,但是也没想到这个事件是一次针对性的大规模集中式攻击。”吴崖斌说。
在公告中,快手将此次事故归结为“黑灰产攻击”。
尽管对网络攻击事件定性,有待进一步调查结论,但行业内的推测多认为符合“黑灰产攻击”的特点。
过去,黑灰产多在暗处活动,而从业10多年,朱传江也从未听闻如此高调的攻击行动,“正常来说都不会这么明目张胆”。
黑产,就是明确违法的产业;灰产,则游走在法律边缘,打擦边球,很多时候在境外运作,规避监管。而朱传江说,黑灰产攻击通常伴随着勒索牟利、商业竞争、技术炫耀,甚至不排除更高层面的对抗。
图源:pexels
但在这次事件中,攻击者并未直接显现出清晰的获利路径,这也让外界对其动机产生疑问。
快手事件中,有传言称“违规直播间中隐藏着病毒链接,许多用户点入后,微信账号即被盗取,不法分子随即向账号好友发送借款请求,实施诈骗”。但12月23日,微信发文辟谣:“经核实,上述信息不属实。微信账号有严格的安全保护机制,截至目前,我们没有发现相关问题和收到类似反馈。”
“黑客攻击某个系统,每一步行动肯定是带有目标的,但它播放涉黄内容的目的是什么?也没看出来攻击者到底想干嘛,或者得到了什么?”吴崖斌说。
事件发生后,奇安信集团威胁情报中心负责人汪列军曾发文提醒如今的网络安全现实:此次攻击之所以能造成大规模破坏,核心原因在于黑灰产已全面迈入 “自动化攻击” 时代。黑客借助自动化工具批量注册、操控僵尸号,实现违规内容的秒级发布与扩散。
《黑客军团》剧照
近年来,针对国内的网络安全攻击事件,屡见报端。
据国家互联网应急中心(CNCERT)监测发现,2024年境外APT组织对我重要单位实施网络攻击事件超过600起,涉及多家党政机关、高校和科研院所、重要行业企事业单位等。恶意软件数量持续增长,日均传播次数约349万余次,“银狐”、“BlackMoon”等僵尸网络传播活跃,针对我国互联网用户进行大规模钓鱼攻击和网络诈骗活动。勒索软件攻击呈现高度专业化和多元化特点,全年新增勒索软件团伙超过40个,已公开披露的勒索软件攻击事件超过5700起。
奇安信《网络安全威胁 2024 年度报告》称:攻击者积极挖掘新攻击面并更新技战术,攻击者利用AI生成内容、快速开发漏洞利用代码,攻击门槛持续降低,而防御成本不断上升。“尽管有些威胁组织我们清楚攻击者的目的和所在地区,但目前无法归属到背后具体的攻击实体。”
事故发生后,有声音质疑:市值数千亿的平台,安全防护为何如此“脆弱”?
“其实这话也有失偏颇。”吴崖斌认为,“这个中间存在一个‘幸存者偏差’,突破防守了,大家都知道了,但安全团队拦住的攻击,一般用户和非行业人士是不清楚情况的。”此次事件暴露的,更多是应急响应和极端场景下的短板,而非平台基础安全能力全面失效。
事件让我们看到另一组矛盾:网络技术越来越发达了,为什么网络安全事件却层出不穷,影响力越来越大?
“网络安全其实是攻和防两股势力在对抗,在对抗中,双方的技术水平都在不断提升,道高一尺,魔高一丈,只要有利可图,那么就有一部分黑客投身黑产。”吴崖斌说。
图源:图虫·创意
奇安信在《网络安全威胁2024年度报告》中有更具体的表述:安全攻防是攻击者与厂商安全研究人员的较量,每当一个攻击面被封堵,攻击者就需要寻求新的攻击面。2024年一个显著的特征便是,攻击者对于新攻击面的挖掘……攻击者都在尝试从以往防御较弱甚至是无设防的角度发起攻击,新攻击面的投入成本可能会更低,而防御者发现问题的时间则大幅度增加。
随着攻击手段升级,安全已不再是“装几道防火墙”就能解决的问题,而是一项系统工程。“你要懂网络,要懂计算机、操作系统、数据库,还要懂密码学和法学……”吴崖斌说,“是一个高度交叉的领域。”
这也意味着,网络安全的短板往往不只出现在技术层面。
技术似乎无远弗届,但它并非无所不能。“纯靠技术手段想彻底‘打穿’头部平台,其实不是那么容易的,基本上可能性很小。”吴崖斌说,许多攻击之所以最终造成破坏,是技术威力、管理漏洞的叠加。
在安全行业内部有这样一句警言:“网络安全,三分靠技术,七分靠管理。”
这里的“管理”,既包括权限控制、流程设计、应急预案,也包括人员制度、内部协同与日常演练。一旦其中任何一环存在松动,再强的技术体系,也可能在高压场景下暴露出裂缝。
这种“技术+管理”的逻辑,同样适用于普通用户的日常安全防范。日常冲浪中,被恶意滥用的技术或许伺机而动,但对个人而言,最基础的管理行为——避免点击可疑链接、不随意泄露验证码、谨慎使用公共网络,仍是成本最低且有效的防线。
与此同时,平台与数据管理者显然承担着更大的责任。
对普通用户而言,我们无法理解后台复杂的攻防机制,但有理由期待平台运营者、涉公数据库的管理者提供稳定、可靠、可被信任的安全保障和服务体验,加固安全防线和堡垒。