出品|网易科技《态度》
作者|栎行
编辑|定西
一场发生在岁末午夜的“技术突袭”,将国内头部短视频巨头快手推向了舆论风口浪尖。
2025年12月22日晚,国内头部短视频平台快手遭遇大规模黑灰产攻击,多个直播间在短时间内被恶意注入色情、低俗等内容。涉及“僵尸账号”峰值达1.7万个。
有分析表示,此次事件标志着黑产攻击已全面进入“自动化时代”,平台运营安全正面临从单一防御向系统性治理转变的严峻考验。
截至发稿,快手方面已封禁大量违规账号,并向公安机关报案。北京海淀警方证实已介入调查,事件具体原因仍在进一步核查中。
时间线:从“压力测试”到1.7万个直播间沦陷
当晚22时左右,不少快手用户发现平台异常。有用户发现,很多直播间在放色情或暴力影片,举报无果,涉事直播间观看人数最高接近10万,评论区充斥着不堪入目的留言。
有快手员工表示,此时正是快手下班的时间。
据了解,攻击并非毫无征兆。21时30分起,已有零散用户反映登录验证码加载异常、视频播放卡顿,少量主播称直播推流不稳。这些细微异常当时多被归为网络波动,未引起广泛警觉。
有媒体报道称,此阶段实为黑灰产的“压力测试”——通过小规模流量试探服务器负载与风控规则,为总攻铺路。
22时整,攻击全面爆发。据监测数据显示,峰值时段约有1.7万个被控“僵尸账号”同步开播,直播间集中推送色情低俗内容,形成刷屏效应。
更严峻的是,此阶段部分用户举报功能短暂失效,显示黑灰产在投放违规内容的同时,还对平台处置通道实施了干扰。
22:30-23:30 ,快手安全团队在攻击爆发后启动最高级应急响应。处置分三层推进:首先临时限制直播入口与新开播流量;随即启动流量清洗,通过AI识别并拦截恶意流量,批量封禁IP与账号;同时动态抬高直播权限阈值。
23:30后,经约一小时处置,平台于23时30分左右基本清除违规内容,涉案1.7万个账号全部冻结。
12月23日凌晨,快手官方通报确认事件为“黑灰产恶意攻击”,并说明有部分用户账号被盗用。目前平台已向公安机关报案,并将联合监管部门开展溯源,同时通知相关用户完成账号核验与安全重置。
消息很快传开,23日上午,快手APP冲上了App Store免费榜第二。
防火墙脆弱性与“自动化攻击”时代的到来
有数据专业人士向网易科技分析称,目前看来事故最大的可能是cdn(内容分发网络)被攻破了,审核看到的是正常视频然后到了cdn层被换成了黄暴的。此外,ddos(分布式拒绝服务攻击)也有可能,即同时间大量的信息攻击服务器。
也有网络工程师向网易科技表示,此次事故如何被“进攻”的可能性很多,但大部分网站防火墙的脆弱程度“超出想象”。
360数字安全集团专家分析,这极有可能是一场有组织、有预谋的外部黑客攻击。从技术路径来看,攻击者可能利用了直播推流接口的底层漏洞,绕过了平台的实名认证与内容审核链路。这种大规模、高频次的黑产渗透,暴露出快手在应对极端安全攻击时的风控防御体系存在明显漏洞。
奇安信安全专家汪列军分析指出,此次攻击暴露出黑灰产已全面进入“自动化攻击”时代,而平台仍依赖传统人工防御模式,导致攻防失衡。
专家进一步表示,企业网络安全需兼顾外部攻击和内部风险防范。据悉,内部漏洞如“内鬼”数据泄露、账号盗用等问题频发,其破坏力不亚于外部突袭,因此需树立“内外同防”理念,将零信任架构纳入整体安全体系。
回溯近年,全球范围内网络攻击呈现出高频化与多样化趋势:2021年前后,勒索软件攻击成为主流,Colonial Pipeline、爱尔兰国家卫生系统等事件造成现实世界层面的能源与医疗中断;2024年以来,攻击进一步向云服务、电信基础设施与跨国企业延伸,多起涉及国家级APT组织的长期渗透行动被披露。同年,黑客组织ShinyHunters宣布访问超过2亿用户邮件、搜索/观看历史并勒索;凸显第三方数据处理链风险。
与以往以“数据窃取”为主不同,快手此次事件凸显出内容平台同样成为攻击目标,黑灰产通过自动化工具直接干扰平台运营与内容生态。整体来看,网络安全威胁已从单一技术问题演变为影响企业治理、公共秩序与监管体系的系统性风险,平台防护能力与应急机制正面临新一轮考验。
目前,快手平台直播功能已逐步恢复正常。据网易科技了解,快手员工在此次事件受到的影响呈现为两种极端,安全、风控、审核、市场部等部分员工已经在连夜加班,但某些业务员工受此影响,已经暂停部分已敲定业务。
截至发稿,未有组织或个人宣称对此次攻击负责。快手股价下跌3.75%。