一场大规模“攻击”,在深夜击中了快手。
12月22日22时左右,快手用户们发现了不对劲。不少人开始在直播推流中发现一些不堪入目的画面,类似的直播间越来越多。
很快,“快手怎么了”登上热搜。大量自动化僵尸账号在短时间内批量开播,传播色情、暴力等违规内容,单场直播间观看量数万人。次日凌晨00:15,快手紧急关闭直播功能,启动应急熔断机制,部分账号被强制封禁,平台秩序于当日清晨逐步恢复。
12月23日港股开盘,快手低开3.30%,报64.5港元/股,随后股价跌幅一度达5.70%,市值2717亿港元,较前一日收盘时蒸发164亿港元。
目前,快手已发布公告称:快手应用的直播功能于2025年12月22日22:00左右遭到网络攻击,公司已第一时间启动应急预案,经全力处置与系统修复,快手应用的直播功能已逐步恢复正常服务。快手应用的其他服务未受影响。
图/视觉中国
“大面积覆盖且持续时间长”
12月22日22时左右,多位网友反映,快手直播间突然出现大量涉及淫秽色情、血腥暴力的违规内容,包括播放淫秽影片、主播擦边低俗表演等。
360数字安全集团专家发文分析,这些违规直播间呈现明显的“自动化”特征:大量新注册的账号在同一时段集体开播,播放预制的非法视频。即使平台后台不断封禁单一账号,违规内容仍然如潮水般爆发增长。23日0时前后,快手采取了紧急止损措施:“无差别关停”直播频道。
资深网络安全专家曲子龙对《中国新闻周刊》分析,从技术角度推演,这很有可能是被黑灰产集中利用开播导致的群体事件。“一个正常的用户想要在快手直播要经历注册账户、实名认证、视频开播流程,如果黑产想要攻击,首先就需要已经实名认证的账户。简单一点,可以通过撞库、盗号等各种方式获得用户已经实名的账户。此外,也可以通过第三方接码平台,利用虚拟小号、手机号批量注册账户后,通过漏洞或者其他方式绕过‘实名认证’获得实名权限进行开播,如果是这样必须有相对应的漏洞配合。”
然而,快手的这次事件中,很多网友反馈出现了大量的新号开播。曲子龙认为,最终可能是“实名认证”被技术绕过,导致这些群控用户直接开播。他强调,此次遭遇攻击的部分是“直播”,并且在一段时间内未能解决该问题。
“黑灰产大面积覆盖且持续时间长,这是最值得关注的问题。”多年从事视频行业的安升认为,这些年来,国内短视频和直播平台步子迈得太快,安全防范有所欠缺。
回到此次事件本身,攻击方是谁还无法确认,目前无法评判其攻击目的。快手回应称,相应情况已上报给相关部门,并向公安机关报警。
给平台拉响警报
快手遭遇黑灰产攻击,并非偶然事件,而是网络黑灰产演进的一个缩影。360数字安全集团专家发文分析,这极有可能是一场有组织、有预谋的外部黑客攻击。从技术路径来看,攻击者可能利用了直播推流接口的底层漏洞,绕过了平台的实名认证与内容审核链路。这种大规模、高频次的黑产渗透,暴露出平台在应对极端安全攻击时的风控防御体系存在明显漏洞。
漏洞被发现,进而被攻击后,本可以进一步拦截不良信息。然而,为什么没被拦下?曲子龙表示,在正常情况下,各个平台都对视频中低俗、色情、暴力等内容,设置针对性的视频审核服务,一般都是先用智能AI审核,然后把鉴定准确的直接封禁,把疑似或者有问题的内容推给人工客服审核。“然而很多AI审核其实是‘异步’的,更多是把某一个时间段的视频流切割成视频,然后推给AI审核。因此,反馈结果是有时间差的。如果需要审核的内容过多,导致视频审核算力不足产生阻塞,那么审核能力就坍塌了。”
快手最终只能依靠全部关掉直播间处理事故。南开大学法学院副院长陈兵告诉《中国新闻周刊》,大规模网络安全攻击在社会治理方面产生的影响需要充分关注。随着AI技术的发展,当下已进入到智能体发展时代,对互联网平台来说,将要面对更多的主体责任,因此要在相关部门的指导下,形成常态化检测和精准化治理机制。
曲子龙提出建议,在直播开播之前以“人脸识别”对直播者身份核验,能从很大程度上解决“虚假直播”问题,不过这可能会给用户体验造成不便,这对互联网平台提出了新的课题。
(文中安升为匿名)
