过去两天里,我们可能见证了今年最大的互联网平台治理失能事件。
12月22日22时左右,黑灰产组织对快手直播平台发起有预谋的大规模协同攻击。短时间内,平台涌现大量由新注册或僵尸账号创建的违规直播间,播放预设的淫秽色情、血腥暴力内容,部分直播间观看人数近10万,平台审核与封禁系统失效。
如此群魔狂欢了两小时,直到12月23日0时前后,快手采取了最高级别的“无差别关停”措施,全面关闭直播频道,事态才得到控制。紧急处置后,直播功能在00:45左右基本恢复。
回顾整个移动互联网发展史,能够对如此大体量发起攻击且令平台直接“无差别关停”的事故极其罕见,此次事件暴露了平台在防御体系上的系统性短板,更揭示出黑客技术在AI加持下给互联网公司安全抛出的严峻挑战。
快手因何被击穿?
快手方面确认了此次事故的确因黑灰产组织攻击导致,但“内部排查公告还没出”。一位快手员工向虎嗅透露:“负责安全的那些领导,现在(24日下午)都显示出差。”
网络安全资深从业者张虎(化名)向虎嗅指出了此次攻击的链条:
首先,利用“接码平台”与“猫池”批量获取虚拟号,注册海量僵尸号,并利用视频流注入等技术手段绕过实名认证;
其次,通过高频轮换住宅代理IP、深度篡改设备指纹,模拟正常用户行为,规避平台的实时风控系统;
然后,利用直播推流接口的底层协议漏洞绕过安全网关,直接向CDN网络注入违规流。通过C&C服务器同步指令,实现上万账号同时开播,播放违禁内容;
最后,海量视频流构成“应用层DDoS”冲击。异步审核机制固有的时间延迟、算力过载导致的队列拥塞,共同导致防御失效。
从逻辑链条上来看,快手的安全防线可谓是“层层失守”,应对无效,才导致最后不得不硬性“无差别关停”。
众所周知,AI的快速发展加强了黑客的攻击能力。11月13日,Anthropic 发布了两份报告,指出黑客对 AI Agent 化能力的利用已达到“前所未有”的水平,“自主运行、极少干预”的攻击模式,正标志着网络安全进入了一个充满变数的转折点。
“无论是发码平台劫持还是头像验证,如今AI都能自动帮你实现,对于黑灰产组织而言,可以花费极低成本‘一键攻击’,”张虎向虎嗅分析道。
数美科技CTO梁堃也在接受InfoQ专访时指出:“今年以来,最直观的感受是黑灰产正在全面利用大模型技术提高获利效率。”黑产技术的升级并非渐进式的改良,而是一次结构性的代际跨越。这种跨越,让数字战争的性质彻底改变。
梁堃还在采访中分享了更细节的变革,在过去,黑产为了获取用于薅羊毛或营销欺诈的高权重账号,面临着极高的“养号”成本。但现在,大模型成为了黑产最高效的生产力工具。利用 AI,黑产可以针对特定主题,自动生成情感细腻、逻辑严密且千人千面的评论文案。
更具威胁的是,今年黑产全面转向 Agent。Agent 能够理解指令并直接调用 API,其生成的点击、浏览、交互行为序列具备极高的拟人度,且执行成本几乎为零。这种“去脚本化”的攻击,让传统基于点击频率、间隔时间等规则的行为风控防线面临失效风险。
总结来看,此次快手虽启动“无差别关停”手段做了应急处理,但也反映出其风控体系在极限压力下的应对局限。
不只是快手的短板
在事故发生后的第二天快手股价遭遇大跌,市值一度蒸发超百亿元,反映出投资者对其的不信任。
“这次事故暴露快手应急管理做得差,都两个小时了,最后只能靠下掉直播入口才解决,”前述快手内部人士对虎嗅分析道:“直播由很多基础团队加业务一起支撑,占快手很大一块收入比例,内部受重视程度是‘t0’级别。从技术角度看,触发风控后要下掉账户直播,风控要么用人工审核,要么用算法大模型,这次事故暴露出算法可能存在漏洞。”
快手安全到底可能存在哪些漏洞?
“一般大的互联网公司都会有监控平台,平台检测包括几个维度,比如业务侧方面,以前的僵尸用户突然活跃起来了却没有预警,这就是问题;再比如拿到推流做加密流量后,攻击方对此做了‘逆向’,你却没有监督的手段,这也是安全治理不到位,”张虎对虎嗅分析道,“平台的安全治理还存在可优化的空间,例如平台上的海量账号理应去做好管控,超过三个月不登录的账号怎么处理等等细节问题,网络安全领域没有绝对的防御,只有不断加强验证手段提高对手的攻击成本。”
对于互联网平台而言,存在网络安全管控与业务发展之间的矛盾。
如果要追求极致的安全,那么流量协议的加密就要多做几层,但这会导致直播加载速度变慢,影响用户体验,继而造成用户流失,在市场竞争中失败。况且娱乐直播赛道本身就是“擦边”行为较多的灰色地带,平台安审规则很难做到“非黑即白”,一旦“摇摆”就很可能有漏洞可钻。
张虎认为,这次事故不仅反映出快手平台治理失能,背后还反映出国内企业在网络安全方面普遍的“认知”缺失。
一方面,“网络安全作为不产生直接效益的部门,一旦公司开始收缩则很可能被优先裁掉”,在AI迎来快速发展之后更是如此。据快手财报及媒体公开报道,近一两年快手专注于盈利和AI,在除AI外的研发和人员投入上有所下降,财报业绩虽然增长了,但平台的安全治理能力却要打上一个问号。
另一方面,“国内大部分企业一般只会按照相关法律法规的最低标准去做网络安全工程,”张虎说道:“大部分都只是为了应付合规,需要有把‘椅子’,那就放一把‘椅子’,但作为执行的关键的‘人’没有配够,很难起到实际作用。每年的网络安全知识宣传周都会谈到很多问题,但每年仍然有很多网络安全事件发生。”
张虎认为黑灰产某种程度上已经成为互联网的“副产品”,其中涉及大量的利益冲突。
在张虎的认知里,当前黑灰产的角色可以被分为六大种类:
一是流量工业体系,包含养号、控号、设备农场,制造“假活跃”,扭曲算法判断;
二是规则套利者,把平台规则当成套利工具,利用平台模糊地带反复试错;
三是地下内容供应链,包括擦边、低俗、非法广告等,用量对抗平台审查;
四是账号与数据黑市,包括买卖成熟账号、出售风控经验数据等;
五是平台对抗者,协同投放、以“击穿系统”为目标;
六是寄生型变现系统,包括打赏返现、私域导流、灰色支付通道等,在平台外进行变现并完成资金快速转移。
这次快手称是被黑灰产攻击,但攻击的具体背景与动机,现在还不得而知。有安全从业者猜测是由快手竞争对手发起,也仅能做一家之言的猜测来看待。
黑灰产对平台治理的真正危害,在于它们系统性地侵蚀了平台赖以运转的三大基础:规则的权威性、数据的真实性、身份的可信度。当这些基础被持续瓦解,平台治理就不再是“有没有能力”的问题,而是“是否还能成立”的问题。
快手还没有道歉
回顾快手2025年在ESG治理上的成绩,其MSCI评级由“BBB”级上调至“A”级,评级综合得分在国内互联网企业中位列领先梯队。
其于2025年4月发布的《2024年度环境、社会及管治报告》明确指出,在内容审查和拦截机制方面,快手采用机器审核与人工审核相结合的模式,提升审核效率与准确性;快手持续推进恶意信息数据库的迭代升级,显著提升平台在识别和拦截恶意信息及违法违规网站方面的能力等。
但从发生的事故来看,快手这份ESG报告在平台治理侧“水分”很大。
图源:快手《2024年度环境、社会及管治报告》
商道咨询合伙人郎华曾向虎嗅ESG组指出,要想判断一家公司的披露是否真正“有用”和“可验证”,需要看在相关的议题和数据披露方面是否存在较大的差异和异常。快手在披露和现实间的矛盾凸显出平台治理的盲点仍然存在且亟待修复。
从社会维度看,快手在最初回应中以“受害者”身份自居无可厚非,但从目前它发布的两份回应来看,几乎看不到任何对平台治理失效的反思、也没有对公众的道歉——当大量低俗、色情直播内容在平台上集中出现、被用户看到,并在短时间内造成了真实且广泛的社会负面影响,平台对公共内容环境应该承担怎样的底线责任?
当一家平台对“发生了什么”进行说明,却对“给社会造成了什么影响”保持沉默,本质上是在回避价值判断:这些内容是否伤害了未成年人?是否破坏了公共内容生态?是否违背了平台一贯宣称的社区规范?这些问题,不能被“我们也是受害者”所抵消。
缺失道歉,会被解读为对社会影响的低估或冷处理。
企业的态度本身也是ESG的一部分。治理失效可以通过技术升级和制度修补来纠正,但如果在价值层面不愿正视内容失控带来的社会伤害,那么再多关于技术修复的表态,也难以重建信任。更多股票资讯,关注财经365!