12月22日晚,快手平台多个直播间出现色情、暴力等违规内容,快手一度关停直播。对此,快手方面回应称,22日22时左右,平台遭到黑灰产攻击,目前已紧急处理修复中,平台坚决抵制违规内容,相应情况已上报给相关部门,并向公安机关报警。
12月23日,快手发布公告称,快手的直播功能于2025年12月22日22:00左右遭到网络攻击,已第一时间启动预案,全力处置与系统修复,快手的直播功能已逐步恢复正常服务。快手应用的其他服务未受影响,“本公司始终严守合规底线,坚决反对任何违规内容及行为。本公司强烈谴责黑灰产的违法犯罪行为,已就上述事宜向公安机关报警并向相关部门报告,并将视情况采取其他适当的法律补救措施,以保障本公司及其股东的权益。”
在网络安全专家等业内人士看来,这已不是简单的技术漏洞问题,而是网络黑灰产利用AI技术发动的有组织、有预谋的攻击。
网络安全专家分析攻击者技术路径
奇安信安全专家汪列军表示,此次攻击之所以能造成大规模破坏,核心原因在于黑灰产已全面迈入“自动化攻击”时代。黑客借助自动化工具批量注册、操控僵尸号,实现违规内容的秒级发布与扩散,这种规模化攻击完全超出人工审核的应对极限。传统人工审核存在天然滞后性,面对每秒数十条的违规内容洪流,往往陷入“封禁不及新增”的被动局面,即便增派人手也难以填补攻防效率差。
360数字安全集团专家分析,这极有可能是一场有组织、有预谋的外部黑客攻击。从技术路径来看,攻击者可能利用了直播推流接口的底层漏洞,绕过了平台的实名认证与内容审核链路。这种大规模、高频次的黑产渗透,暴露出快手在应对极端安全攻击时的风控防御体系存在明显漏洞。
黑客具体是怎么做的?有网络安全专家告诉南都N视频记者,本次事件,攻击方的目的性很明确,把违规内容开播及让用户能看到,达到传播的目的,“直播的监管在国内已经是很成熟的体系,包括开播前的生物特征级别的人脸识别实名认证,开播后的AI+人工自动化审核处置,还有算法层面助力的内容传播。”
“从泄露出来的官方处置措施及违规账号数据(1.7万个账号),可以判断这次事件是一场‘自动化攻击’”,该名专家透露,具体来看,攻击者通过自动化“扫号”拿到“肉鸡”账号(“肉鸡”账号在网络安全领域中,通常指被黑客成功入侵并完全控制的用户账号或设备账号,这些账号如同被任意操控的“傀儡”,可供黑客进行非法活动),这些“肉鸡”账号可能已完成实名认证具备开播权限。
据透露,攻击者还发起了协议级爆破(底层渗透), “攻击者并非模拟人手在手机上点击,而是直接通过逆向破解了直播开播的通信协议。这种‘协议机’跳过了App前端界面,实现了毫秒级的批量发起。”
这次的攻击还是饱和式冲击,1.7万个账号瞬间同步发力,通过数量优势瞬间占满平台的内容安全围栏请求、封禁接口和举报通道,利用“响应时间差”在短时间内完成大规模违规内容扩散。“平台都有严格的内容安全围栏拦截机制,所有的直播内容都会请求安全大模型分别通过文本、视觉、音频等多维度检测,但是个别平台为了追求用户体验,对安全围栏接口都会设置请求超时豁免机制,避免请求超时影响直播间的播放,本次涉黄内容可以绕过审核机制,可能原因就是这次的饱和式攻击导致平台的安全围栏接口请求超时,内容被豁免。”上述专家表示。
专家持续分析,攻击者还利用了分布式推荐污染,“平台直播推荐是分布式的,新的直播会被小流量测试,热度起来,再进入到主推荐池,这次攻击者准备了1.7万个直播账号,通过‘自动化’刷点评赞观看提升热度,横向铺开,试图避免本单直播间的在线人数过多而被直播风控模型捕获,这就是大量直播间同时异常的根本原因。”
普通用户如何防御信息安全?
面对这样“自动化攻击”,普通用户应该如何防御自己的信息安全?网络安全专家告诉南都记者,由于黑产已实现技术降维打击,普通用户的防御核心应从“防骗”转为 “保护数字资产(Token)与身份权限”。
首先要切断“授权漏洞”,立即自查应用的第三方应用授权(比如QQ、微信、微博),“黑产常利用不安全的小程序或测试页窃取你的Token(登录令牌)。一旦泄露,黑产无需密码即可在协议端直接操控你的账号。”
还要阻断“关联感染”,也就是开启账号的设备锁或者尽快修改密码。同时,定期清理“历史登录设备”,“如果你的社交媒体账号曾被盗,应立即解绑或重设,防止黑产以这些平台为跳板,通过关联登录控制你的账号。”
值得注意的是,针对此次黑灰产攻击,部分传言称“违规直播间中隐藏着病毒链接,许多用户点入后,微信账号即被盗取,不法分子随即向账号好友发送借款请求,实施诈骗。”微信官方辟谣平台回应,经核实,上述信息不属实。微信账号有严格的安全保护机制,截至目前,微信方面没有发现相关问题和收到类似反馈。辟谣平台同时提醒用户,不要轻易点击可疑链接,若不小心点击了,切记不要输入或透露个人密码与手机验证码,切实提高安全意识。
