12月22日深夜,快手直播平台遭遇罕见大规模恶意攻击,数万个直播间在短时间内被海量违规内容“攻陷”,平台被迫紧急全域关停直播功能近一小时。这起国内直播行业首次因外部攻击导致的“休克式”停摆,暴露出黑灰产新型攻击手段对内容安全的严峻挑战。
对于此事,西安电子科技大学网络与信息安全学院一名专家向华商报大风新闻记者表示,这起事件在当前互联网平台安全环境中极具典型意义:它警示业界业务逻辑层面的安全风险已上升到威胁平台生存的高度,整个行业可能因此加速升级内容安全标准和实时风控机制,以防范类似的大规模内容安全事件再发生。
事件回溯——
快手平台遭遇黑灰产攻击
直播功能一度崩溃关停
2025年12月22日深夜,快手直播频道经历了前所未有的“惊魂一夜”。
当晚约10时起,平台上突然涌现出海量涉嫌淫秽色情的违规直播内容,多达上万直播间同步出现异常。大量新注册的“小白号”在同一时间段集体开播,播放预先录制的非法视频,呈现出高度自动化、批量化的特征。平台的内容审核系统一时间失灵,封禁了部分违规账号后,却有更多账号“前仆后继”般开启直播,违规影像如潮水般蔓延。
面对失控局面,快手于23时30分许被迫采取“休克式止损”——紧急关停整个平台的直播功能,以阻断违规内容传播。这是国内直播平台首次因外部攻击而被迫全面下架直播功能,足见事件的严重程度。当晚0时30分起,快手直播服务陆续恢复,但此次事件已在业内和公众间引发巨大震动。
23日上午,快手方面对于此事回应称,22日22时左右,平台遭到黑灰产攻击,目前已紧急处理修复中,平台坚决抵制违规内容,相应情况已上报给相关部门,并向公安机关报警。
行为定性——
“一场有组织、有预谋的黑灰产攻击”
12月24日,西安电子科技大学网络与信息安全学院一名专家在接受华商报大风新闻记者采访时表示,从目前信息研判,此次直播间大面积出现违规内容绝非偶发的系统故障,而极有可能是一场有组织、有预谋的黑灰产攻击。
专家介绍,网络空间安全领域中,黑灰产指以不正当手段获取利益的网络“产业化”行为,从工具、账号、流量到变现,往往形成分工明确的链条,并对个人与平台安全造成风险。快手官方在事后第一时间回应称,22日22时左右平台遭到黑灰产业的恶意攻击,并非系统漏洞所致。“攻击者很可能利用了直播推流接口的底层漏洞,绕过平台正常的实名认证与内容审核流程,大规模渗透违规内容。”
同时,短时间内同步失控的直播间数量多达数万,一个人或零散主播不可能做到如此规模同步违规,高度同步与批量化本身就是精心策划攻击的明显迹象。因此业内普遍认定,这是一起精心组织的黑灰产团伙针对内容平台的新型攻击事件。
专家认为,从互联网安全事件的角度看,此次事件的典型性和危害性都极高。一方面,直播平台过去也曾出现违规内容,但如此大规模、协同一致的恶意内容“刷屏”攻击在国内尚属首次。另一方面,事件造成的影响极其恶劣:大量违规淫秽影像瞬时传播,不仅严重违反法律法规底线,也直接冲击平台的内容治理能力和公众信任。新修订的《治安管理处罚法》也已明确将利用网络传播淫秽信息列为严惩范畴,此次事件无疑触及法律红线。综合来看,这起事件在当前互联网平台安全环境中极具典型意义:它警示业界业务逻辑层面的安全风险已上升到威胁平台生存的高度。
技术拆解——
滥用平台正常功能和规则
以非常规规模和节奏实施破坏
攻击者是如何绕过层层风控,在一夜之间操纵上万账号集体播出违规内容的?专家认为,这背后体现的是黑灰产团伙对直播业务逻辑的深入钻研和技术滥用。总体来看,此次事件并非传统入侵服务器的黑客攻击,而是一种“业务逻辑攻击”:即不直接攻击系统底层,而是滥用平台正常功能和规则,以非常规规模和节奏实施破坏。
“黑灰产为发动攻击准备了海量已完成实名认证的账号资源。”专家表示,按正常流程,用户开通直播需注册并实名认证,否则无法开播。攻击者可能通过多种途径获取了数以万计的实名认证账号:其一,批量盗取他人账户,从而直接掌握大量实名账号权限;其二,通过第三方“接码”平台和虚拟手机号批量注册新账号,再利用平台漏洞或非正常手段绕过实名认证流程。究竟攻击者是否发现了绕过实名的漏洞,目前官方尚未披露。但可以确定的是,他们成功持有了足够多具备直播权限的账号“钥匙”,并在同一时间将所有这些“门”一起打开。同时,攻击团伙运用了专业的群控技术,编写自动化脚本同时操纵数以万计账户,模拟真人操作批量登录、发起直播、推送视频等。
专家认为,此次事件实质上是一种“量压型攻击”。与传统DDoS攻击淹没带宽或服务器资源不同,“量压型”指的是通过超常规的业务操作数量和频率来压垮平台的业务功能。攻击者选择在夜间22时这一用户活跃高峰时段突然发难,上万直播间在短短十几分钟内陆续开播,违规内容洪水般涌入审核系统。海量违规直播同时上线使推荐系统也遭到“污染”——每个新开直播按规则会被分发给一小部分用户试播观看,攻击者正是利用这一点,让直播间各自获取少量流量。这种横向铺开的饱和攻击既增加了违规内容的总体曝光度,又避免了单个直播间因流量异常过高而被风控模型立即捕获,大大延缓了平台发现和处理违规的速度。与此同时,攻击者还可能对平台举报通道实施反制:要么使用手中账号批量对无关直播间发起恶意举报,制造海量“噪音”干扰人工审核视线;要么就是大量真实用户在同一时间举报这些涉黄直播,引发人工审核队列瞬间堆积。无论哪种情况,结果都是平台的内容审核流程被全面干扰和拖慢。当审查系统被恶意流量饱和后,违规直播得以在黄金时段大面积暴露。
目前尚不清楚黑灰产团伙发动此次攻击的最终目的,但业内推测无非几种可能:经济牟利方面,他们或意图通过传播淫秽内容牟取不法利益,比如引流至非法色情网站或App、诱导用户付费获取更多不良视频等;恶意干扰平台方面,也不排除攻击者有意打击快手的声誉和用户信任,给平台制造舆论和监管压力;还有观点认为这可能是黑灰产对快手内容安全系统的一次极限“压力测试”,以检验平台风控漏洞和响应极限,从而为日后更大规模的非法牟利行动做准备。无论动机为何,这一事件都暴露出新型黑灰产攻击手法的猖獗与防范难度。
防御反思——
任何一家平台若在业务逻辑安全上存有疏漏
都可能成为下一个攻击目标
此次攻击对平台和用户都带来了哪些冲击和风险?
专家介绍,从平台角度看,首当其冲的是系统性功能瘫痪和内容安全失守。攻击发生后,快手的AI内容审核系统和人工审核团队一度被全面压制,无法及时拦截海量违规直播。为了阻断违法内容传播,平台被迫紧急关停直播频道近一个小时,这相当于主动切断了自己的核心业务。当时不仅直播间暂停服务,快手短视频浏览、用户个人中心、提现等功能也一度受到波及而出现卡顿。
“平台方面还面临后续整改和安全投入的压力。”专家表示,事件发生后,快手立即启动应急预案,冻结了约1.7万个涉事账号并清理所有违规内容。同时连夜对系统进行加固升级,引入更强大的AI审查和更多人力审核支援,以防止类似攻击卷土重来。可以预见,快手以及整个行业未来将在安全风控上投入更多资源,包括引进高端安全人才、升级内容识别算法、扩容审核基础设施等等。这对平台来说短期是额外的成本和负担,但已成维护业务持续性的必然投入。
“换个角度看,此次事件对其他互联网内容平台也是一记警钟——任何一家平台若在业务逻辑安全上存有疏漏,都可能成为下一个攻击目标。整个行业可能因此加速升级内容安全标准和实时风控机制,以防范类似的大规模内容安全事件再发生。”专家说。
事件发生后,一度有传闻称这些违规直播间里藏有恶意链接,用户一旦点进直播或点击其中链接,其微信账号就会被盗号,甚至不法分子利用盗取的微信号向好友群发借款诈骗消息。虽然腾讯方面迅速辟谣了这一说法,称并无微信账号因此次事件被盗的案例。但“营销号”在本次事件中以博眼球为目的恶意炒作、拼接猜测甚至捏造“盗号”、“诈骗”情节,迅速放大了公众恐慌,干扰正常的信息判断与应急处置,造成了次生伤害。
专家指出,事实上,黑产往往会趁机植入钓鱼链接或二维码,引诱好奇用户点击,从而实施信息窃取或财产诈骗。因此普通用户在面对类似不明链接时确实需要提高警惕。另外,对于那些被黑灰产盗用账号来开违规直播的用户来说,他们的个人账户安全和隐私也受到侵害。如果攻击者盗取了一批“休眠”账号并用于此次违法行为,那么这些账户的持有人可能还未意识到自己的账号已陷入黑产之手。专家提醒,用户应定期检查账号活动,及时修改重复或弱密码,开启更严格的安全验证措施,以免成为黑产的“肉鸡”而不自知。
华商报大风新闻记者 白仲夏 编辑 李婧
(如有爆料,请拨打华商报新闻热线 029-8888 0000)
热门跟贴