2025年马上就要收官了,但在这最后的几天,中文互联网最大的网络安全事件诞生了,而且还是几亿用户的国民级应用——快手。
事情发生的如此突兀,令人错愕!深夜,快手直播频道突然变成了色情站,一边有大量主播开启坦胸露乳直播。
另一边,大量直播间直接放起了色情小电影。
据了解,大量用户集中遭遇色情直播内容刷屏,单场观看人数逼近10万。
而不少网友表示,这次涉黄视频的出现,时间跨度很长,举报也没用。
快手App已冲到苹果App Store免费榜第二。
在某安卓市场,快手也冲到了热门榜第3。
还有网友截图显示,疑似某应用市场有400多万用户回归。
出现如此重大的事故,所谓的“用户回归”倒成了一种黑色幽默。
在笔者印象中,类似的涉黄事故已经有n年没见了。
有人吐槽:快手变成了快播。事实上估计很多年轻人根本不知道快播,现在的互联网内容已经规范干净多了。
据媒体报道,时间从2025年晚21时至23时左右,大量直播间集中播放淫秽色情影片、进行性暗示表演或裸露敏感部位。
这些违规直播间未被设置年龄限制,直接推送至普通用户的直播推荐流中,用户反映在短时间内连续刷到大量相关内容。
同时,有些直播间借助漏洞,通过「密码房」、「专属福利」等名义诱导用户打赏,在线人数一度高达近10万人,单场观看量逼近该数值。
随后,朋友圈就被刷屏了。
随后,关于快手涉黄的视频,就在社交媒体炸了!
不少网友表示,点举报都没用,快手今晚直播大量涌入黄色举报点的爆炸没有封禁,快手管理员是不是都睡着了呀? 审核员是不是该下岗?
还有网友表示,那画面真的有点吓人。还有网友表示:大量用户举报快手直播间出现淫秽内容,包括主播裸露敏感部位、直接播放色情影片等现象。多名网友描述"点开直播全是黄色内容",甚至调侃"十个直播七个在放片",部分直播间观众达数万人。用户尝试举报但系统响应失效,直指审核功能瘫痪
还有网友表示:快手的服务器今天是怎么了?谁知道?直播的都是黄色内容,出现这种事故事后会被约谈吗?有这种情况为啥不先把直播服务降级掉呢?
「快手胆子太大了吧?!今晚的,此刻的直播全是黄色啊这已经不是涉黄了纯黄啊」
时间线梳理
这起事件的来龙去脉是怎样的呢?我们先来梳理一下:
12月22日 22:00,攻击开始
昨天晚上,许多快手用户结束了一天的繁忙,躺在床上用手机刷着快手平台直播的时候,却发现直播推荐页被大批标注“密码房”、“专属福利”的直播间所占据。
当人们好奇点进直播间后,会发现直播间里充斥着大量辣眼睛的涩情内容。而且直播类似画面的账号不是一个两个,而是有上万个账号在同一时间直播羞羞的内容。
12月22日 23:00,内容扩散
面对海量违规内容的集中涌入,快手原有“AI识别+人工复核”的审核体系瞬间陷入失灵状态。同时,许多义愤填膺的用户发起举报,却发现举报的通都已经瘫痪了。
面对这样的局面,不少网友纷纷在微博、小红书等社交平台吐槽。许多快手老用户听闻此事,都纷纷重新下载快手APP,上线亲眼检查事故情况,这使得违规直播的负面影响进一步扩大。
12月23日 00:00,直播下架
尽管快手工作人员在后台持续封禁涉事账号,但违规直播的账号实在太多,而且持续在增加新直播,使得封禁效率远低于新增速度。
为阻断违规内容进一步扩散,快手选择壮士断腕,在23日0时直接下架了APP首页直播入口,才终于控制住事态。
在0时30分,快手官方发布首份通报,明确此次事件系黑灰产攻击所致,已紧急处理修复中,相关情况已上报监管部门并向公安机关报警。
12月23日 01:00,事后恢复
在23日的0时58分,快手技术团队紧急完成核心漏洞排查与初步加固后,开始分批次恢复直播功能,优先开放合规主播开播权限。
在凌晨3时,直播功能终于全面恢复正常。所有被盗账号的用户收到了平台短信通知,需完成身份核验与密码重置方可登录。
随后,有网友表示,这次大概有1.7万账号进行涉黄涉赌广告群发,并提醒,直播间出现的网站一定不要去搜,后果严重。
12月23日,快手科技发布公告:
公司快手应用的直播功能于2025年12月22日22:00左右遭到网路攻击,公司已第一时间启动应预案,经全力处置与系统修复,快手应用的直播功能已逐步恢复正常服务。快手应用的其他服务未受影响。
公司始终严守合规底线,坚决反对任何违规内容及行为。公司强烈谴责黑灰产的违法犯罪行为,已就上述事宜向公安机关报警并向相关部门报告,并将视情况采取其他适当的法律补救措施,以保障本公司及其股东的权益。
背后的技术复盘
快手的这起事故影响重大,绝对可以定性为T0事故,涉及相关业务的程序员和运维,估计要倒霉了。
事故背后的原因是什么呢?究竟是谁在捣鬼?快手官方暂时只提及是黑灰产所谓,并没有详细透露,但小灰希望借助自己多年的经验来复盘一下。
1. 上万个账号从哪来?
数以万计的快手账号是从哪来的?黑灰产利用群控软件、脚本批量注册 / 劫持僵尸号,伪造身份绕过实名认证与人脸核验,短时间内集中开播(网传约 1.7 万个账号同时发难)。
2. 为什么能通过审核?
黑灰产利用直播推流接口底层漏洞或数据劫持,直接绕开前置内容审核链路,实现内容成功上线。
同时他们借助 AI 换脸、对抗样本(如画面局部遮挡、篡改码率)等技术,规避 AI 画面 / 语音识别,提升内容穿透率。
3. 为什么能被推流?
正常人精细打造的内容都没有流量,为什么这些违规的内容反而被推流呢?
背后原因是快手直播 “先发后审” 的特性,形成 5–30 分钟的处置时间窗口,黑灰产精准利用该窗口批量扩散内容。
他们操控僵尸号刷量加热直播间,触发推荐算法反推,让违规内容短时间内触达海量用户,加剧传播速度。
4. 为什么不第一时间封号?
不是快手不想封号,是真的封不过来。
黑灰产采用高频对抗来消耗平台资源,也就是“封一个开十个” 的高频账号轮换策略,使平台封禁效率远低于新增速度,陷入 “封禁不及新增” 的被动。
最后快手平台直接无差别下架整个直播功能,问题才得以缓解。
也有网友表示,这不会就是商战吧,有人想整垮快手?还好只是色情内容……
不过,话说回来,不管是不是商战,不出意外,这无疑是今年以来最大的网络安全事故了,看后续怎么处理了。
而快手作为一个国民级应用,这么就被黑客攻击,应该要好好长点心了。
据红星新闻,快手直播一名员工表示,接到的说法确为有组织的黑灰产黑客攻击。北京汉华飞天信安科技有限公司总经理彭根接受红星新闻采访表示,是否确为黑产攻击,就目前信息他无法确定。
该事件具体技术路径仍未知。360数字安全集团专家对媒体分析,攻击者可能利用了直播推流接口的底层漏洞,绕过了平台的实名认证与内容审核链路。
不过,一位了解快手审核机制的相关人士对红星新闻称,他推测,可能是多方因素影响造成的,可能的原因之一是黑产侵入了快手的白名单权限。这时处置已超出审核部门权限,需要上升到风控乃至其他一系列策略部门。也可能是灰产直接攻击了封禁的接口。此外,此前快手也曾出现过违规内容漏审情况。
彭根认为,快手发生漏洞被利用的情况,现在的核心工作是修补,其次应该排查其他漏洞,防止类似事件再次出现。此外,彭根认为,从时间线来看,快手的应急响应速度比较慢,凌晨才关闭相关直播入口,所以应该加强应急预案。
彭根认为,快手应该建立快速响应、自动化处置的机制和系统,直播间一个个人工封不过来,那就不能仅仅依靠人工,需要使用机器和AI等,实现快速发现、快速处置。因为完全没有漏洞是不现实的,漏洞快速发现,攻击快速处置就很重要,才能保证网络安全。
多位网络安全行业专家根据目前公开情况分析认为,此次攻击事件在规模上已属于行业P0级事故,很有可能是一场有预谋的大规模攻击。而快手安全团队的应对也暴露出自身技术与组织层面的短板。
所谓P0级事故是指最高级别的事故,通常涉及核心业务的重要功能无法使用,影响范围广泛,要求公司迅速反应,采取紧急措施,如系统回滚、紧急修复、临时应急方案等,且需要高层领导直接介入处理。事故后也需要官方深入调查,分析原因,并采取预防措施,以避免类似问题再次发生。
图片来源:视觉中国
12月23日,据奇安信集团消息,12月22日22时许,国内知名短视频平台快手遭遇黑灰产猛烈攻击。在短短60到90分钟内,黑客组织通过技术手段侵入快手系统,导致整个平台安全体系陷入瘫痪。奇安信安全专家汪列军表示,此次攻击之所以能造成大规模破坏,核心原因在于黑灰产已全面迈入 “自动化攻击” 时代。黑客借助自动化工具批量注册、操控僵尸号,实现违规内容的秒级发布与扩散,这种规模化攻击完全超出人工审核的应对极限。
与此同时,奇安信安全专家还认为,企业网络安全升级不能仅聚焦外部攻击防御,内部漏洞引发的风险同样不容忽视。近年来,“内鬼” 泄露数据、内部账号被盗滥用、越权操作等事件频发,部分网络攻击甚至通过收买内部人员、利用权限漏洞突破防线,其破坏力不亚于外部突袭。专家提醒,在数字化转型过程中,企业需树立“内外同防” 理念,将内部防线建设纳入整体安全体系,尤其要重视 “防内鬼” 与权限管控。
12月23日,截至发稿,港股快手-W(01024.HK)股价低开低走。现报64.05港元/股,下跌近4%,总市值2767亿港元。
快手为头部直播平台,11月19日,快手科技公布今年三季度财报显示,三季度快手总营收同比增长14.2%至356亿元,第三季度经营利润同比增长69.9%至53亿元,经调整净利润同比增长26.3%至50亿元。
值得注意的是,12月23日,A股网络安全板块开盘走强后回落。菲菱科思涨9.63%,吉大正元一度涨超7%,奇安信、锐捷网络、杰创智能等个股均出现不同程度跟涨行情。
热门跟贴