如何避免成为下一个“快手”?| 图源:豆包AI
作者/ IT时报 孙永会
编辑/ 王昕 孙妍
2025年末,一起“黑天鹅”事件搅动了平均日活跃用户4亿多的短视频平台快手。
据媒体报道,快手此次事故被定义为“P0 级事故”,为互联网企业故障等级的最高级。
12月22日22:00左右,快手的多个直播间出现色情、暴力和恐怖等违规内容。快手官方称平台遭到网络攻击。快手第一时间紧急处理,报警并下架违规内容,公开谴责违法犯罪行为。
直到23日00:00点前后,平台仍采取“无差别关停”措施,直播页面被清空,显示“服务器繁忙”。00:45左右,直播服务开始逐步恢复。
12月23日午时,快手科技在港交所发布公告,称快手应用的直播功能遭到网络攻击,公司已第一时间启动应急预案,经全力处置与系统修复,快手应用的直播功能已逐步恢复正常服务。快手应用的其他服务未受影响。
“快手事件”是国内顶级App应用遭遇的最严重网络攻击事件之一,影响极为恶劣,攻击者十分猖狂。从用户投诉到平台采取措施,经历了较长时间,但从目前快手官方的发文来看,并未有过多的细节说明。
那一夜,快手到底经历了什么?
为何防御体系被“击穿”?
“太可怕了,看到后我吓了一跳,就直接滑开,然后玩其他软件了。”来自云南的用户小芸(化名)在社交平台上分享了自己的经历,12月22日晚间,她正在快手直播间看美食直播,突然刷到涉黄内容。“感觉我的快手‘脏’了。”小芸吐槽道。
多家媒体报道,在短短60到90分钟内,黑客组织通过技术手段侵入快手系统,导致整个平台安全体系陷入瘫痪。攻击者利用约1.7万个僵尸账号开设直播间,大量播放包含色情、暴力、恐怖等违规内容,有的直播间单场观看量甚至逼近10万人。
奇安信安全专家汪列军公开表示,此次攻击之所以能造成大规模破坏,核心原因在于黑灰产已全面迈入“自动化攻击”时代,而平台仍依赖传统人工防御模式。黑客借助自动化工具批量注册、操控僵尸号,实现违规内容的秒级发布与扩散,这种规模化攻击完全超出人工审核的应对极限。
“直播间每分钟都在创造经济价值,停了是重大事故,这个决策不是安全团队可以直接做主的,安全团队的应急措施肯定是想方设法地封禁涉事账户。”网络尖刀创始人曲子龙就此次事故亦进行了分析,正常情况下,各个平台都会有针对视频内容的低俗、色情、暴力等针对性的视频审核服务,正常的流程是先用智能AI审核,然后把鉴定准确且认可的直接封禁,疑似或者有问题的推给人工客服来审核。
曲子龙进一步解释道,在平台正常运行的情况下,涉及低俗、色情的内容不会那么多,原有的这套工作流是可以正常进行的,但是一旦集中式爆发导致需要鉴黄的视频暴增,原来的视频智能审核并发能力不够大,大量需要审核的内容同一时间疯狂涌入到智能AI审核任务里,造成审核能力无法实时完成,出现了拥堵,安全团队无法第一时间直接快速地反馈相关直播是否有问题。
“那么多直播间开着,自然业务部门也不知道到底问题出在哪个直播间,去关哪一个。”在曲子龙看来,从发现问题,扩宽业务审核的“通路”,到发现涉及的直播间数量太多完全失控,再换方案上报高层决策直接关闭整个直播频道,也许就是快手当晚无奈的经历。
不止快手被攻陷
“从行业共性来看,这类大规模、有组织的攻击通常不是利用单一漏洞,而是攻击了整个账号与业务联动的‘信任链条’。”广州熠数信息CEO姚威接受《IT时报》记者采访时表示,具体可从两个层面来看:一方面,账号体系是攻击的“基础”,攻击者通过“接码平台”等手段批量注册账号,这反映了当前互联网行业普遍面临的一个挑战,即如何在保证用户体验和注册效率的同时,精准识别并阻断黑产的批量自动化注册行为。这需要平台对注册源IP、设备指纹、行为序列等进行非常精细的实时分析,而黑产也在不断寻找这些规则中的缝隙。
另一方面,直播推流接口是攻击的“杠杆”。攻击者选择在同一时间集中开播,这很可能利用了平台在高并发场景下的流量管理和风险控制策略的平衡点。为了保障海量正常主播的直播流畅性,平台的风控系统可能需要在一个极短的时间窗口内对直播内容进行判断。黑产则试图用海量非法流量冲垮这个窗口,考验的是平台实时风控系统的极限处理能力和弹性。
“因此,核心的挑战在于如何构建一个能够动态适应、智能协同的防御体系,确保账号安全与业务安全之间的策略能够无缝联动,而不是孤立作战。”在网络安全领域有着丰富经验的姚威如是说。
事实上,类似的事故并非仅有快手这一例。
在《吴晓波频道》发布的一文中,揭露了此类事故并非单一事件,在全球范围内,如YouTube、TikTok、Facebook等平台也曾遭遇过批量账号恶意操纵违规内容攻击。比如2025年6月,外媒报道有恶意机器人网络利用Facebook的AI审核系统漏洞,大规模举报合法群组,导致这些群被封禁。仅6月24日一天之内,就有上千个群被封禁,包括部分运营多年、拥有几十万成员的大型网络社区。
图源:unsplash
如何避免成为
下一个快手?
AI时代,当攻击者试图操纵着海量流量一点突破时,网络安全防护体系是否能有效组织防范?
“如果针对接码平台的账户认证问题,我觉得最好的方案就是不信任用户‘过去的认证状态’。”曲子龙认为,在直播前再次检验一次人脸识别,核对实名信息与直播本人是否吻合,这相当于签发了一张“电子合同”,直播间再出现违法乱纪的问题,如果不是因平台技术漏洞导致的,那么应该是用户自己的违法问题。
“安全建设往往基于已知的威胁模式,但黑产团伙的战术、工具和技术更新极快。他们擅长进行‘逆向工程’,研究平台的风控规则并寻找盲区。”姚威指出,这意味着,防御体系必须具备持续学习和快速迭代的能力,不能是一劳永逸的“静态配置”。
图源:unsplash
此外,由于大型平台的产品线复杂,技术架构庞大,账号、内容、交易等不同模块的安全策略如何实现高效协同和数据共享,是一个巨大的技术和管理挑战。在姚威看来,有时候,单个模块的安全水平很高,但模块间的“接缝”处可能成为风险的突破口。如何打破数据孤岛,实现安全能力的“全局联动”,是提升整体防御水位的关键。
姚威建议,一方面,要强化智能驱动的实时检测与响应能力。除了基于规则的防御,更重要的是利用人工智能和机器学习模型,从“群体行为”而非单个事件的角度去识别异常。例如,建立“网络行为分析”模型,重点关注账号之间的关联性和协同性,能够有效识别出那些分散看正常、集中看异常的“僵尸网络”攻击。这有助于在攻击发生初期甚至准备阶段就进行预警和处置。
另一方面,构建纵深防御与弹性架构。安全防御不应只有一道防线。应从账号注册、登录、活跃度提升,到关键业务操作(如开播、发内容、交易)等各个环节设置多层、异构的检测点。即使某一层被短暂突破,后续层级也能迅速响应,实现“秒级断流”。同时,系统需要具备“弹性”,在遭遇攻击时,既能保障核心业务不宕机,又能快速隔离恶意流量。
排版/ 季嘉颖
图片/ 快手 unsplash 豆包AI
来源/《IT时报》公众号vittimes
E N D
