直播“翻車”90分鐘：快手為何被黑產AI擊穿？

AI時代第一場閃電襲擊

文｜《中國企業家》記者 趙東山

編輯｜何伊凡見習編輯｜李原

頭圖攝影｜肖麗

12月23日，快手App以一種不同尋常的方式，突然沖上蘋果App Store第二名。

“我正準備看關注的主播帶貨，突然刷到幾個不堪入目的直播間，當時還有家人在，退出來后整個直播廣場就全是這類內容了。”12月22日晚，快手用戶張強擁有了一次別樣的觀看體驗。

當晚，快手直播板塊短時間內涌入大量低俗、暴力等違規內容，其中既有直播間播放的錄像視頻，也有部分真人大尺度直播。多家媒體報道，安全漏洞持續了超過1.5小時，部分違規直播間的單場觀看量甚至逼近10萬人次，嚴重破壞了平臺生態。甚至有網友調侃，快手直接變成“快播”。

直到12月23日0點后，有網友才發現App內的“直播”板塊已無任何內容顯示。為了緊急遏止違規內容傳播，快手不得不臨時全盤下架直播功能。受此影響，快手港股23日股價下跌3.52%，市值蒸發101.52億港元。

行業普遍認為，日活用戶4.16億的快手此次遭遇的，可能是近年來最大的基礎設施級別的安全事故。

12月22日晚，《中國企業家》就此事詢問快手，快手方面回復稱：“12月22日22時左右，平臺遭到黑灰產攻擊，目前正緊急處理修復中，平臺堅決抵制違規內容，相應情況已上報給相關部門，并向公安機關報警。”

12月23日快手進一步公開回應稱：“本公司始終嚴守合規底線，堅決反對任何違規內容及行為。本公司強烈譴責黑灰產的違法犯罪行為，已就上述事宜向公安機關報警并向相關部門報告，并將視情況采取其他適當的法律補救措施，以保障本公司及其股東的權益。”

來源：快手聲明截圖

不過，快手并未披露此次網絡安全事件波及的直播間數量、封禁賬號規模、用戶商家權益影響等具體信息，也未公開事故具體原因、應對措施和方案以及改進動作。

毫無疑問，快手是此次黑灰產攻擊的受害者，但從違規內容大規模出現，到平臺采取關閉直播功能等徹底措施，響應時間遲滯，也暴露出快手面對AI時代的新型網絡攻擊，在實時監測、應急決策和熔斷機制上存在短板。

截至發稿前，快手App在蘋果App Store免費App排行榜上，已掉至第4名。

此次黑灰產攻擊為何發生？

“群魔亂舞”是用戶對12月22日當晚快手直播間的直觀描述。但快手的應對速度，讓這場事故持續了超過90分鐘。

據多位安全行業專家分析，攻擊快手平臺的違規直播間呈現明顯的“自動化”特征：大量新注冊的賬號在同一時段集體開播，播放預制的非法視頻。即使平臺后臺不斷封禁單一賬號，仍難以有效遏制違規內容。

此次黑灰產攻擊最核心的特殊性還在于，攻擊模式的根本性轉變。

奇安信網絡安全專家汪列軍告訴《中國企業家》：“黑灰產已全面進入‘自動化攻擊’時代。攻擊者并非針對單一漏洞，而是利用自動化工具，在短時間內批量注冊、操控海量僵尸賬號，實現了違規直播內容的秒級發布與擴散。”

最終，快手平臺不得不采取緊急止損措施：“無差別關停”直播頻道。

但這樣的動作顯然過于粗放。“安全運營中心負責人的更優解應該是精準打擊和局部熔斷，減少對其他用戶的使用體驗。但顯然也是無奈之舉了，且要做下架直播功能這樣的重大決定，還要等待內部審核報告的流程。”一位互聯網安全行業從業者向《中國企業家》分析道。

那么，此次網絡黑灰產在入侵路徑上，又是如何實現的呢？

360數字安全集團專家向《中國企業家》等媒體分析稱，這極有可能是一場有組織、有預謀的外部黑客攻擊。從技術路徑來看，攻擊者可能利用了直播推流接口的底層協議漏洞，繞過了平臺的實名認證與內容審核鏈路，最終實現批量賬號開播。

這種大規模、高頻次的黑產滲透，也暴露出了快手在應對極端安全攻擊時的風控防御體系存在明顯漏洞，以及平臺在面對極限壓力時的應對局限。

有業內人士指出，此次事故發生在晚上10點左右的用網高峰期，而非凌晨三四點。快手安全團隊在風險感知、審查團隊值班安排、技術策略合理性、應急響應方面都可能存在問題。

上述互聯網安全行業從業者告訴《中國企業家》，一個正規、成熟、完備的應對黑灰產攻擊流程，應是一個貫穿全生命周期的系統工程，通常分為三層：

第一，實時監測系統的常態化監測，能夠毫秒級分析用戶行為、內容、交互模式，自動識別并攔截異常；對平臺異常行為，快速識別與定性。

第二，啟動分級應急響應與熔斷，為直播推流、大規模交易等平臺核心業務功能，設置自動化或半自動化的“熔斷開關”。當系統檢測到異常流量或攻擊指標超過閾值時，能自動限流、功能降級或隔離受影響模塊。

第三，人工干預，快速決策，根據具體情況采取強制措施。根據《國家網絡安全事件報告管理辦法》，對于“較大”以上事件，關鍵信息基礎設施運營者報告時限不超過1小時，其他運營者向屬地網信部門報告時限不超過4小時。若涉嫌犯罪，必須立即向公安機關報案。

那么，快手作為國內第二大的短視頻平臺，以往在安全防御體系搭建上是如何做的？

事實上，早在2025年8月舉辦的“AICon全球人工智能開發與應用大會”上，快手安全算法中心負責人劉夢怡還做過“從技術賦能到范式革新：快手安全大模型驅動內容審核智能化重塑”的主題分享。

劉夢怡從內容安全審核業務場景出發，介紹了快手安全算法團隊自研安全多模態大模型的核心技術方案。

劉夢怡的一個核心觀點是，在大模型時代，快手利用其強大的泛化識別能力和語義理解能力，可以直接作用于內容物料識別出關鍵元素，并根據語義自動歸納為層級的標簽體系；這樣僅需要少量的人工標注向規則做校正，同時也可以反向地去反哺規則本身，交互式的迭代，實現降本增效。

此外，快手在2025年4月發布的《2024年度環境、社會及管治報告》中明確宣稱，在內容審查和攔截機制方面，快手采用機器審核與人工審核相結合的模式，提升審核效率與準確性。

然而，此次黑灰產對快手安全防御體系的擊穿，證明快手以模型和規則為核心的防御體系，在應對AI時代新型的極限壓力時，實時感知和瞬時熔斷機制仍存在明顯漏洞。

AI時代的網絡安全如何構建？

隨著12月23日上午快手直播平臺功能基本恢復，這場持續90分鐘的攻擊事件表面上已告一段落。但快手和其他UGC平臺，都需要重新評估內容安全防護能力；確保防御能力與用戶規模、內容產量同步增長。特別是當平臺處于快速增長期時，安全建設不能滯后于業務擴張。

從快手財報數據看，快手2025年的收入增長，尤其是電商和廣告，都非常依賴平臺生態的健康和用戶的信任。安全投入雖然在財報中帶來的業績影響不直接可見，但它是支撐核心商業骨架的基礎。

此外，這次黑產攻擊中最令人震驚的還有攻擊方技術的低成本與大模型結合后的破壞性。數美科技CTO梁堃在接受InfoQ專訪時指出：“黑產技術的升級并非漸進式的改良，而是一次結構性的代際跨越。”

過去，黑產為獲取高權重賬號需付出高額“養號”成本。如今，大模型成為黑產最高效的生產力工具。更具威脅的是，今年黑產已全面轉向Agent模式。Agent能夠理解指令并直接調用API，其生成的點擊、瀏覽、交互行為序列具備極高的擬人度，且執行成本幾乎為零。

來源：AI生成

360集團創始人周鴻祎此前在接受《中國企業家》采訪時就表示，AI越強大，它自身的安全問題就越嚴重，智能體被攻擊、濫用、誤導，都可能會成為大問題。當前AI已經進入了千行百業，引發產業變革的同時，也帶來了很多新的安全挑戰。

比如大模型落地應用過程中暴露的安全隱患，包括容易成為黑客攻擊目標的模型漏洞；大模型輸入輸出中的不良內容；智能體自身面臨的安全風險；“智能體黑客”的持續出現等等。

這也給各大平臺的安全防御帶來了更大壓力。“過去我們靠安全大數據和專家經驗，現在攻擊也在AI化、智能體化，并且速度、復雜度是指數級上升。”周鴻祎接受《中國企業家》采訪時說。

“過去黑客‘一將難求’，但現在可以把黑客的經驗和能力訓練成智能體，能自動完成漏洞掃描、發起攻擊、橫向滲透等一系列任務。一個人類黑客能管理幾十個甚至上百個黑客智能體，成為‘超級黑客’。這會讓網絡攻防從‘人與人’的對抗，變成‘人與機器’的對抗，甚至改變網絡戰的形態。”周鴻祎進一步解釋稱。

那么，在AI時代下，企業該如何構建自己的安全防火墻呢？

周鴻祎提到，企業要基于安全大模型、安全知識庫、安全工作流和安全工具，通過打造安全智能體，復刻人類高級安全專家的能力，7×24小時不眠不休，快速發現和處置安全問題，同時能有效應對“智能體黑客”，適應機器對機器、模型對模型的對抗新局面，最終實現AI時代的“安全自動防御”。

快手遭遇的網絡攻擊不僅是一家公司的事件，更為整個互聯網行業敲響了警鐘。互聯網平臺的安全穩定性不僅關乎企業自身，更關系到數億用戶的使用體驗與財務等權益。

有專家建議推動行業協同防御機制的建立；由多家平臺共同建立黑灰產情報共享平臺，形成行業聯防、聯控體系，共同應對跨平臺的有組織攻擊。

在技術快速迭代的今天，黑灰產的攻擊手段也在不斷升級，互聯網平臺的這場攻防戰沒有終點。唯一確定的是，任何企業都需要比網絡黑產攻擊者更快一步。