國內(nèi)頭部直播平臺快手遭遇黑產(chǎn)攻擊，暴露出其在應(yīng)急機制上的漏洞。

12月23日午間，快手（01024.HK）在港交所公告稱，公司快手應(yīng)用的直播功能于2025年12月22日22:00左右遭到網(wǎng)絡(luò)攻擊，公司已第一時間啟動應(yīng)急預(yù)案，經(jīng)全力處置與系統(tǒng)修復(fù)，快手應(yīng)用的直播功能已逐步恢復(fù)正常服務(wù)。

公告稱，快手應(yīng)用的其他服務(wù)未受影響。公司始終嚴(yán)守合規(guī)底線，堅決反對任何違規(guī)內(nèi)容及行為。公司強烈譴責(zé)黑灰產(chǎn)的違法犯罪行為，已就上述事宜向公安機關(guān)報警并向相關(guān)部門報告，并將視情況采取其他適當(dāng)?shù)姆裳a救措施，以保障本公司及其股東的權(quán)益。

12月23日開盤，快手跌超3%，截至收盤，報收64.35港元，跌3.52%。23日中午，快手APP已經(jīng)躍升至蘋果應(yīng)用商店免費APP排行榜第二。本次事件迅速引發(fā)大量討論?；诠_信息，多位受訪安全專家指出，這起事件反映出了平臺的明顯安全漏洞，并且能從中感受到來自攻擊者的“惡意”。

發(fā)生了什么？

12月22日22時許，有網(wǎng)友反映，快手直播間出現(xiàn)大量色情內(nèi)容，隨后大量直播間被封禁，異常狀態(tài)持續(xù)超1小時。23日0點之后，有網(wǎng)友發(fā)現(xiàn)快手APP的“直播”板塊已無任何內(nèi)容。

據(jù)360方面表示，這些違規(guī)直播間呈現(xiàn)明顯的“自動化”特征：大量新注冊的賬號在同一時段集體開播，播放預(yù)制的非法視頻。即使平臺后臺不斷封禁單一賬號，違規(guī)內(nèi)容仍然如潮水般爆發(fā)增長。23日0時前后，快手采取了緊急止損措施：“無差別關(guān)停”直播頻道。

關(guān)于事件起因，長期致力于網(wǎng)絡(luò)安全的專業(yè)人士、網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍對澎湃新聞記者指出，從目前接收到的信息來看，很多人反饋出現(xiàn)了大量的新號開播，大概率是被黑灰產(chǎn)集中利用開播所導(dǎo)致的群體事件。

360數(shù)字安全集團(tuán)專家也在分析中指出，從技術(shù)路徑來看，攻擊者可能利用了直播推流接口的底層漏洞，繞過了平臺的實名認(rèn)證與內(nèi)容審核鏈路。這種大規(guī)模、高頻次的黑產(chǎn)滲透，暴露出快手在應(yīng)對極端安全攻擊時的風(fēng)控防御體系存在明顯漏洞。

曲子龍解釋道，正常情況下，各個平臺都會有AI（人工智能）+人工的視頻內(nèi)容審核服務(wù)。然而，一旦需要鑒定的視頻集中式爆發(fā)，原本準(zhǔn)備的視頻智能審核的云投入的并發(fā)不夠大，就和遭遇了DDoS（分布式拒絕服務(wù)工具）一樣，一堆需要審核的內(nèi)容同一時間瘋狂涌入到智能AI審核任務(wù)里，造成審核能力無法實時完成，出現(xiàn)了隊列和擁堵。

曲子龍表示：“如果是灰黑產(chǎn)的群控攻擊，那么真的是堪稱‘黑灰產(chǎn)史無前例的教科書攻擊’了，畢竟以往黑灰產(chǎn)只是集中注冊賬戶、你關(guān)了我再繼續(xù)發(fā)，從來沒有過這么大規(guī)模的惡意攻擊行為，尤其是它并沒有產(chǎn)生足夠等額的價值獲得?！?/p>

奇安信安全專家汪列軍向澎湃新聞記者表示，此次攻擊之所以能造成大規(guī)模破壞，核心原因在于黑灰產(chǎn)已全面邁入 “自動化攻擊” 時代，而平臺仍依賴傳統(tǒng)人工防御模式。黑客借助自動化工具批量注冊、操控僵尸號，實現(xiàn)違規(guī)內(nèi)容的秒級發(fā)布與擴散，這種規(guī)?；敉耆鋈斯徍说膽?yīng)對極限。

有何教訓(xùn)？

另有網(wǎng)絡(luò)安全領(lǐng)域從業(yè)人士對澎湃新聞記者表示，從已有信息來看，本次事件“要么是代碼存在邏輯性漏洞，要么是0day（指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞），但也有可能是‘內(nèi)鬼’，即內(nèi)部有人泄露關(guān)鍵信息”。

上述人士強調(diào)，規(guī)模如此大的數(shù)據(jù)泄露事件，起因往往非常“樸素”，并且是“從內(nèi)到外”地發(fā)展，正面攻破已經(jīng)不太可能發(fā)生。無論是真的有“內(nèi)鬼”存在還是其他原因，對于大平臺來說，沒有相應(yīng)的應(yīng)急措施才是最嚴(yán)重的問題：“對于網(wǎng)安團(tuán)隊來說，無論發(fā)生什么狀況都應(yīng)該有應(yīng)急預(yù)案，設(shè)想最糟糕的情況和相應(yīng)流程。目前看來，這就是給其他平臺最大的教訓(xùn)。”

業(yè)內(nèi)分析指出，在平臺高速擴張的過程中，安全投入與業(yè)務(wù)規(guī)模往往難以匹配。在本次事件中，面對失控局面，平臺未能啟動分級熔斷，只能被迫采取“無差別關(guān)停直播頻道”，體現(xiàn)出其應(yīng)急響應(yīng)機制急需改進(jìn)。

汪列軍也談到，企業(yè)網(wǎng)絡(luò)安全升級不能僅聚焦外部攻擊防御，內(nèi)部漏洞引發(fā)的風(fēng)險同樣不容忽視。近年來，“內(nèi)鬼” 泄露數(shù)據(jù)、內(nèi)部賬號被盜濫用、越權(quán)操作等事件頻發(fā)，部分網(wǎng)絡(luò)攻擊甚至通過收買內(nèi)部人員、利用權(quán)限漏洞突破防線，其破壞力不亞于外部突襲。專家提醒，在數(shù)字化轉(zhuǎn)型過程中，企業(yè)需樹立“內(nèi)外同防” 理念，將內(nèi)部防線建設(shè)納入整體安全體系，尤其要重視 “防內(nèi)鬼” 與權(quán)限管控。

那么，除了增強網(wǎng)安意識和重視應(yīng)急方案以外，平臺還可以采取哪些措施來避免類似事件的發(fā)生？

曲子龍認(rèn)為，最好的解決方案就是不信任用戶“過去的認(rèn)證狀態(tài)”，在直播前再次檢驗一次人臉識別，核對實名信息與直播本人是否吻合。對于批量攻擊占滿審核資源的問題，解決方法一個是加強算力，另外一個就是增設(shè)直播門檻。

針對此次事件暴露的行業(yè)痛點，汪列軍認(rèn)為：“當(dāng)前網(wǎng)絡(luò)安全已進(jìn)入不對稱戰(zhàn)爭時代，高級威脅的隱蔽性與攻擊的自動化特征，讓傳統(tǒng)人工防御難以為繼，必須用 AI 賦能實現(xiàn)安全防護(hù)自動化，以對抗攻擊自動化?！庇绕涫窃诤诨耶a(chǎn)手段持續(xù)升級的背景下，企業(yè)亟需構(gòu)建超越人類分析極限的AI“大腦”，通過智能感知、自動研判、極速響應(yīng)的全流程自動化體系，破解攻防失衡的困局。?