網(wǎng)絡(luò)安全專家復(fù)盤“快手被攻擊”：史無(wú)前例的攻擊，沒有應(yīng)急措施才是最嚴(yán)重問題

國(guó)內(nèi)頭部直播平臺(tái)快手遭遇黑產(chǎn)攻擊，暴露出其在應(yīng)急機(jī)制上的漏洞。

12月23日午間，快手（01024.HK）在港交所公告稱，公司快手應(yīng)用的直播功能于2025年12月22日22:00左右遭到網(wǎng)絡(luò)攻擊，公司已第一時(shí)間啟動(dòng)應(yīng)急預(yù)案，經(jīng)全力處置與系統(tǒng)修復(fù)，快手應(yīng)用的直播功能已逐步恢復(fù)正常服務(wù)。

公告稱，快手應(yīng)用的其他服務(wù)未受影響。公司始終嚴(yán)守合規(guī)底線，堅(jiān)決反對(duì)任何違規(guī)內(nèi)容及行為。公司強(qiáng)烈譴責(zé)黑灰產(chǎn)的違法犯罪行為，已就上述事宜向公安機(jī)關(guān)報(bào)警并向相關(guān)部門報(bào)告，并將視情況采取其他適當(dāng)?shù)姆裳a(bǔ)救措施，以保障本公司及其股東的權(quán)益。

12月23日開盤，快手跌超3%，截至收盤，報(bào)收64.35港元，跌3.52%。23日中午，快手APP已經(jīng)躍升至蘋果應(yīng)用商店免費(fèi)APP排行榜第二。本次事件迅速引發(fā)大量討論。基于公開信息，多位受訪安全專家指出，這起事件反映出了平臺(tái)的明顯安全漏洞，并且能從中感受到來(lái)自攻擊者的“惡意”。

發(fā)生了什么？

12月22日22時(shí)許，有網(wǎng)友反映，快手直播間出現(xiàn)大量色情內(nèi)容，隨后大量直播間被封禁，異常狀態(tài)持續(xù)超1小時(shí)。23日0點(diǎn)之后，有網(wǎng)友發(fā)現(xiàn)快手APP的“直播”板塊已無(wú)任何內(nèi)容。

據(jù)360方面表示，這些違規(guī)直播間呈現(xiàn)明顯的“自動(dòng)化”特征：大量新注冊(cè)的賬號(hào)在同一時(shí)段集體開播，播放預(yù)制的非法視頻。即使平臺(tái)后臺(tái)不斷封禁單一賬號(hào)，違規(guī)內(nèi)容仍然如潮水般爆發(fā)增長(zhǎng)。23日0時(shí)前后，快手采取了緊急止損措施：“無(wú)差別關(guān)停”直播頻道。

關(guān)于事件起因，長(zhǎng)期致力于網(wǎng)絡(luò)安全的專業(yè)人士、網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍對(duì)澎湃新聞?dòng)浾咧赋觯瑥哪壳敖邮盏降男畔?lái)看，很多人反饋出現(xiàn)了大量的新號(hào)開播，大概率是被黑灰產(chǎn)集中利用開播所導(dǎo)致的群體事件。

360數(shù)字安全集團(tuán)專家也在分析中指出，從技術(shù)路徑來(lái)看，攻擊者可能利用了直播推流接口的底層漏洞，繞過了平臺(tái)的實(shí)名認(rèn)證與內(nèi)容審核鏈路。這種大規(guī)模、高頻次的黑產(chǎn)滲透，暴露出快手在應(yīng)對(duì)極端安全攻擊時(shí)的風(fēng)控防御體系存在明顯漏洞。

曲子龍解釋道，正常情況下，各個(gè)平臺(tái)都會(huì)有AI（人工智能）+人工的視頻內(nèi)容審核服務(wù)。然而，一旦需要鑒定的視頻集中式爆發(fā)，原本準(zhǔn)備的視頻智能審核的云投入的并發(fā)不夠大，就和遭遇了DDoS（分布式拒絕服務(wù)工具）一樣，一堆需要審核的內(nèi)容同一時(shí)間瘋狂涌入到智能AI審核任務(wù)里，造成審核能力無(wú)法實(shí)時(shí)完成，出現(xiàn)了隊(duì)列和擁堵。

曲子龍表示：“如果是灰黑產(chǎn)的群控攻擊，那么真的是堪稱‘黑灰產(chǎn)史無(wú)前例的教科書攻擊’了，畢竟以往黑灰產(chǎn)只是集中注冊(cè)賬戶、你關(guān)了我再繼續(xù)發(fā)，從來(lái)沒有過這么大規(guī)模的惡意攻擊行為，尤其是它并沒有產(chǎn)生足夠等額的價(jià)值獲得。”

奇安信安全專家汪列軍向澎湃新聞?dòng)浾弑硎荆舜喂糁阅茉斐纱笠?guī)模破壞，核心原因在于黑灰產(chǎn)已全面邁入 “自動(dòng)化攻擊” 時(shí)代，而平臺(tái)仍依賴傳統(tǒng)人工防御模式。黑客借助自動(dòng)化工具批量注冊(cè)、操控僵尸號(hào)，實(shí)現(xiàn)違規(guī)內(nèi)容的秒級(jí)發(fā)布與擴(kuò)散，這種規(guī)模化攻擊完全超出人工審核的應(yīng)對(duì)極限。

有何教訓(xùn)？

另有網(wǎng)絡(luò)安全領(lǐng)域從業(yè)人士對(duì)澎湃新聞?dòng)浾弑硎荆瑥囊延行畔?lái)看，本次事件“要么是代碼存在邏輯性漏洞，要么是0day（指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞），但也有可能是‘內(nèi)鬼’，即內(nèi)部有人泄露關(guān)鍵信息”。

上述人士強(qiáng)調(diào)，規(guī)模如此大的數(shù)據(jù)泄露事件，起因往往非常“樸素”，并且是“從內(nèi)到外”地發(fā)展，正面攻破已經(jīng)不太可能發(fā)生。無(wú)論是真的有“內(nèi)鬼”存在還是其他原因，對(duì)于大平臺(tái)來(lái)說(shuō)，沒有相應(yīng)的應(yīng)急措施才是最嚴(yán)重的問題：“對(duì)于網(wǎng)安團(tuán)隊(duì)來(lái)說(shuō)，無(wú)論發(fā)生什么狀況都應(yīng)該有應(yīng)急預(yù)案，設(shè)想最糟糕的情況和相應(yīng)流程。目前看來(lái)，這就是給其他平臺(tái)最大的教訓(xùn)。”

業(yè)內(nèi)分析指出，在平臺(tái)高速擴(kuò)張的過程中，安全投入與業(yè)務(wù)規(guī)模往往難以匹配。在本次事件中，面對(duì)失控局面，平臺(tái)未能啟動(dòng)分級(jí)熔斷，只能被迫采取“無(wú)差別關(guān)停直播頻道”，體現(xiàn)出其應(yīng)急響應(yīng)機(jī)制急需改進(jìn)。

汪列軍也談到，企業(yè)網(wǎng)絡(luò)安全升級(jí)不能僅聚焦外部攻擊防御，內(nèi)部漏洞引發(fā)的風(fēng)險(xiǎn)同樣不容忽視。近年來(lái)，“內(nèi)鬼” 泄露數(shù)據(jù)、內(nèi)部賬號(hào)被盜濫用、越權(quán)操作等事件頻發(fā)，部分網(wǎng)絡(luò)攻擊甚至通過收買內(nèi)部人員、利用權(quán)限漏洞突破防線，其破壞力不亞于外部突襲。專家提醒，在數(shù)字化轉(zhuǎn)型過程中，企業(yè)需樹立“內(nèi)外同防” 理念，將內(nèi)部防線建設(shè)納入整體安全體系，尤其要重視 “防內(nèi)鬼” 與權(quán)限管控。

那么，除了增強(qiáng)網(wǎng)安意識(shí)和重視應(yīng)急方案以外，平臺(tái)還可以采取哪些措施來(lái)避免類似事件的發(fā)生？

曲子龍認(rèn)為，最好的解決方案就是不信任用戶“過去的認(rèn)證狀態(tài)”，在直播前再次檢驗(yàn)一次人臉識(shí)別，核對(duì)實(shí)名信息與直播本人是否吻合。對(duì)于批量攻擊占滿審核資源的問題，解決方法一個(gè)是加強(qiáng)算力，另外一個(gè)就是增設(shè)直播門檻。

針對(duì)此次事件暴露的行業(yè)痛點(diǎn)，汪列軍認(rèn)為：“當(dāng)前網(wǎng)絡(luò)安全已進(jìn)入不對(duì)稱戰(zhàn)爭(zhēng)時(shí)代，高級(jí)威脅的隱蔽性與攻擊的自動(dòng)化特征，讓傳統(tǒng)人工防御難以為繼，必須用 AI 賦能實(shí)現(xiàn)安全防護(hù)自動(dòng)化，以對(duì)抗攻擊自動(dòng)化。”尤其是在黑灰產(chǎn)手段持續(xù)升級(jí)的背景下，企業(yè)亟需構(gòu)建超越人類分析極限的AI“大腦”，通過智能感知、自動(dòng)研判、極速響應(yīng)的全流程自動(dòng)化體系，破解攻防失衡的困局。?