12月22日晚,快手平台多个直播间出现色情、暴力等违规内容,快手一度关停直播。12月23日,快手发布公告称,快手的直播功能于2025年12月22日22:00左右遭到网络攻击,已第一时间启动预案,全力处置与系统修复,快手的直播功能已逐步恢复正常服务。快手应用的其他服务未受影响,“本公司强烈谴责黑灰产的违法犯罪行为,已就上述事宜向公安机关报警并向相关部门报告。”
在网络安全专家看来,这起事件的本质不是“内容审核失误”,而是一次针对平台核心控制系统的定向攻击,“攻击者并没有和平台在‘谁更会审核内容’这个层面缠斗,而是直接摧毁了平台‘执行封禁’的能力,这也是本次事件最危险、最值得警惕的地方。”
北京百纳优邦安全科技创始人、HackingGroup010C发起人任芊霓告诉南都N视频记者,攻击方在整体策略上已经明显完成“AI化”演进,利用AI模拟真人行为轨迹,用脚本制造数量和速度上的规模优势,并通过数据反馈动态调整攻击节奏;而防御方在很多场景下仍主要依赖人工审核和静态规则体系,这种在技术代际上的不对称差距,正是此次攻击能够造成系统性失控的根本原因。
图片由豆包辅助生成。
攻击者高度自动化,选择流量高峰、人力最薄弱时间点入手
任芊霓表示,快手直播遭遇的并非一次偶发的技术故障,而是一场经过长期准备、高度自动化的黑灰产网络攻击。攻击者提前数小时通过小规模违规内容进行“火力侦察”,同时利用接码平台、群控系统和账号劫持手段,批量养成上万“看似真人”的僵尸账号以绕过风控。在晚间流量高峰与人工审核换班的脆弱时段,这些账号同步发起违规直播,并通过脚本对平台“封禁执行接口”实施高频洪泛攻击,导致审核系统虽能识别违规内容,却无法下达关停指令,执行系统陷入瘫痪,致使大量违规直播在高关注度下持续存在。随着舆情扩散和系统失控,平台最终只能采取关闭整个直播功能的极端止损措施。
攻击者选择的时间点是晚间流量高峰,用户在线数、直播数、推荐刷新频率都处于最高值,平台负载本就处于高水位;也是人工审核换班期,人力最薄弱、应急响应速度下降;节前敏感时间窗口,政策监管压力高,一旦失控,社会影响被指数级放大,这说明攻击者非常熟悉大型平台的运营节奏和内部流程。
任芊霓透露,攻击者从当天18:00起,已经开始小规模投放擦边内容、低烈度违规直播,实际上攻击者在做三件事:测试AI模型的识别能力、测量违规内容的存活时间、计算“发现→封禁”的平均延迟,这一步相当于战争中的“校准射程”。
为什么攻击者需要1.7万个账号?任芊霓解释称,攻击者并不是为了“数量震慑”,而是为了制造“系统级过载”。审核系统可以识别违规内容,但执行系统的处理能力是有限的,当违规请求在短时间内达到阈值,就会出现排队阻塞、指令丢失、执行失败。
对于攻击者的“僵尸账号”来源,任芊霓透露,一部分是接码平台注册,自动购买虚拟手机号、接收验证码、批量注册,成本极低、速度极快;而最核心的来源则是来自群控系统,利用AndroidADB/无障碍接口,一台电脑控制上千部手机同步完成滑动、点击、开播、互动,从平台视角看,这不是脚本,而是成千上万个真人用户同时操作手机;最隐蔽、最危险的渠道则是账号劫持,利用其他平台泄露的账号密码库,撞库攻击长期不活跃账号、老账号,这些账号权重高、信任度高、审核更宽松,这些账号是“突破推荐系统的钥匙”。
快手的内容治理系统是如何被突破的?据任芊霓介绍,平台的内容治理其实是分为检测系统和执行系统的,检测系统包括AI识别和人工复核,执行系统包括封禁直播、关闭房间、冻结账号等,两者之间靠API/内部接口通信。
“攻击者没有尝试绕过AI、欺骗模型,而是选择了成本最低、效果最致命的方式,也就是对‘执行封禁接口’发起高频洪泛请求,结果是检测系统‘我看见违规了,我在报警’,但执行系统‘我接不到命令’,这就是为什么十万观看的违规直播能持续存在十几分钟甚至更久”。任芊霓表示,在自动熔断机制已经完全失效的情况下,唯一能确保止血的方法是强制关闭整个直播功能。
攻击方完成AI化演进,要用AI对抗AI
“和以往相比,这次黑灰产攻击最显著的特点在于其已经完全进入自动化、工业化阶段,整个攻击链条几乎不再依赖人工干预”,任芊霓表示,更重要的是,攻击重心已经从传统的“内容对抗”发生根本转移,“过去平台与黑灰产比拼的是谁更会隐藏违规内容、绕过审核规则,而在这次事件中,攻击者直接针对平台的核心控制与执行系统下手,通过瘫痪封禁接口,使平台即便识别出违规内容也无法实施处置,实现从内容层面向系统层面的升级打击。”
任芊霓分析称,同时可以看到,攻击方在整体策略上已经明显完成“AI化”演进,利用AI模拟真人行为轨迹,用脚本制造数量和速度上的规模优势,并通过数据反馈动态调整攻击节奏;而防御方在很多场景下仍主要依赖人工审核和静态规则体系,这种在技术代际上的不对称差距,正是此次攻击能够造成系统性失控的根本原因。
“我们已经进入了一个自动化攻击成为常态的时代,但很多平台的安全防御,还停留在过去。核心原则是必须用AI对抗AI。”任芊霓表示,过去,平台做内容安全,更多是“事后处理”,也就是视频发出来了,AI扫一遍,有问题再交给人工审核,确认违规再点击封禁。但在今天,这条链路已经明显跟不上攻击节奏了。攻击者一个脚本就能在几秒钟内控制上万个账号同步开播,而防御这一侧,却还依赖人工在后台一个个点“确认”。
“所以平台真正需要的,不只是‘更聪明的内容识别模型’,而是自动化的安全机器人。这些系统关注的,不只是内容本身,而是行为本身,比如,为什么这么多新注册账号,行为节奏高度一致?为什么在极短时间内,有大量账号同时请求开播?为什么某些接口的调用频率,突然呈现出非人类的规律?这些异常,其实在违规内容大规模出现之前就已经存在了。如果平台能在行为层提前发现并自动熔断,很多事故根本不会真正爆发。”
【专家支招】
警惕异常链接,避免跨平台密码复用防范账号劫持
北京百纳优邦安全科技创始人任芊霓提到,对于普通用户来说,平台安全并不是一道完全可以外包的防线,在自动化攻击和黑灰产高度活跃的今天,个人的信息安全同样需要主动防护,“最重要的一点,是对来自内容平台的外部链接保持高度警惕,尤其是直播间、私信或评论区中引导跳转、扫码或‘查看更多内容’的链接,正规平台几乎不会通过这种方式要求用户进行账号登录或授权。
其次,要重视账号自身的基础安全管理,避免在不同平台复用同一套密码,为核心账号开启双重验证,并定期检查长期不登录的“老账号”,因为这些账号往往更容易被劫持并用于黑灰产活动。
同时,还要警惕任何以“紧急”“异常”“官方通知”为名索要验证码、登录确认或转账的行为,在跨平台操作中多一次核实,少一次点击。“归根结底,用户需要建立一种新的安全认知——平台并非天然安全的堡垒,真正可靠的信息安全来自平台防护能力与个人警惕意识的共同作用,只有当用户本身成为防御体系的一部分,黑灰产攻击的成功率才会真正下降。”
采写:南都N视频记者汪陈晨