（文/刘媛媛 编辑/周远方）

12月22日晚22时左右，数百万快手用户突然遭遇异常——验证码频繁失效、视频加载卡顿，更令人震惊的是，大量直播间开始同步播放涉黄、低俗内容，部分观看人数迅速飙升至近十万。

国内知名白帽安全公司“漏洞银行”联合创始人兼CTO、上海市首席技师张雪松向观察者网表示，这不是一次普通的黑产骚扰，从现有情报分析，攻击者并没有表现出勒索变现的利益诉求，一出手就是奔着“惊爆效果”去的，目的非常直接，就是要制造舆论震动。

短短一小时内，这场突如其来的网络风暴席卷整个平台直播板块，最终迫使快手在当晚23时30分左右启动紧急处置，对违规内容集中查删；次日零点以后，一度强制关闭直播功能，封禁不少违规账号。

截至12月23日凌晨2点，快手才完成系统修复与违规内容清理，直播功能陆续恢复正常。随后，平台方面将情况上报给相关部门，并向公安机关正式报案。

有消息称，此次攻击涉及约1.7万个高度自动化的账号，这些账号多通过境外接码平台批量注册，绕过实名认证，并利用API接口漏洞获取直播权限。攻击者使用脚本控制账号统一开播、挂载非法内容链接，形成一场高度协同的“数字突袭”。

攻击手法专业，背后或有组织支撑

与以往以窃取数据、盗号变现为主的黑灰产行为不同，此次攻击几乎不追求直接经济收益。直播间并未大规模导流至赌博或诈骗网站，也未见明显的数据爬取痕迹。

相反，攻击者集中火力制造“视觉冲击”——大量低俗画面在黄金时段同步爆发，迅速登上社媒热搜，引发公众对平台内容安全的广泛质疑。

“这种模式在当前黑灰产生态中极为反常。”张雪松指出：“目前我们仍在收集和分析相关情报信息，但可以肯定的是，这是一次有组织、高度专业的攻击，绝不可能是新手‘一不小心’造成的。”

在他看来，此次攻击选择了快手的“直播”板块，快手用户众多且直播热度巨大，直播大量涉黄涉暴内容必然会引起巨大的公众舆论事件。因此推断，攻击者一出手就是奔着“惊爆效果”去的，目的非常直接，就是要制造舆论震动。

张雪松进一步解释称，当前黑灰产已形成成熟的产业链，核心盈利点在于隐蔽性与可持续性，例如盗取用户账号用于刷单、引流或倒卖个人信息。“而这次却选择了高风险、低回报的公开破坏路径，除非背后存在非经济动机，比如受雇于竞争对手，或带有特定舆论操控意图。”

不过，张雪松对“竞争对手”操控可能性持谨慎态度：“截至目前，我们尚未掌握确凿的情报来支撑对最终攻击目的的定论。”其认为，事件已显现出典型的“安全秀”特征，即攻击者并非为钱，而是为“名”或“势”，通过制造平台安全危机来达成某种战略目的。

“据称攻击者使用的攻击手段有‘接码服务’绕过验证、僵尸号养号、同步批量操作等，每种攻击方式在黑产中早已产业化，只是此次用了一种精心策划的组合方式实现了成效显著的攻击。不排除是在展示一种新型的内容攻击方式，故意制造一场蓄谋已久的事件来做‘秀’。”张雪松说道。

平台防御暴露短板，行业敲响警钟

此次事件暴露出大型互联网平台在应对新型自动化攻击时的脆弱性。尽管快手拥有庞大的安全团队和AI审核系统，但在面对每秒数万次的恶意请求时，传统风控模型仍显滞后。从异常识别到全面响应，耗时两三个小时，期间大量违规内容已广泛传播。

张雪松指出，像快手这样以“算法驱动增长”和极致用户体验为核心商业逻辑的平台，其安全体系的建设确实存在天然的滞后性。

他分析称，短视频和直播类平台，在“内容安全”审查上本就存在挑战。特别是像快手这样级别的大型平台，拥有海量用户和实时直播内容，而当前的算法审查仍存在“智商缺陷”，纯粹依赖人工审核又“忙不过来”，这必然导致内容安全风控体系存在巨大漏洞。

快手在事件爆发后才全面下线封禁，正说明了当前主流平台的风控体系仍更侧重于“事后响应”，即发现问题后进行内容删除或账号封禁。

事实上，类似挑战正困扰整个行业。近年来，黑灰产已全面进入“AI+脚本+僵尸网络”三位一体时代。攻击者可利用大模型生成逼真用户行为、用云服务器模拟真实IP、甚至租用“打码平台”绕过图形验证码。

相比之下，多数平台仍依赖“人工复审+关键词过滤”的被动防御体系，难以应对规模化、智能化的攻击浪潮。

并且，与日益严峻的威胁形成尖锐对比的，还有巨大且仍在扩大的专业人才缺口。《AI时代网络安全产业人才发展报告（2025）》显示，2025年全球网络安全人才缺口升至480万，同比增长19%。

因此，张雪松指出，要真正做到“事前免疫”，未来大型平台的安全建设需要进一步“左移”，将防御深度前置到更前侧的账号端可信识别与行为异常实时研判上，但这在技术上仍有很长的路要走。

另外，有观点认为，如此大规模的攻击，可能存在“内鬼”泄露关键信息或利用内部权限漏洞的可能性，值得各大企业警惕。

“此次攻击的成功，势必是对快手的账号机制和直播机制拥有深度且熟悉的了解，攻击者才会投入‘重金’启动这样一场盛大的攻击，通常情况攻击者在实施攻击计划的链路中，启用‘内鬼’内外配合是成本最低的方式，目前不排除存在这样的可能性。”

张雪松告诉观察者网，对于企业来说，软件开发所用到的信息技术包括算法、关键处理机制等，仍缺乏很好的保护措施防止商业情报的泄露，这也是当前信息科技类企业共同的难题，这就为黑产攻击者提供了更多可能的便利。

网络安全战中，没有谁是旁观者

快手此次“午夜惊魂”事件，不仅是单一企业的安全危机，更是数字经济时代攻防失衡的缩影。当黑灰产已实现工业化、AI化，而防御体系仍停留在“人海战术”阶段，类似的冲击恐怕不会是最后一次。

张雪松认为，这很有可能成为一种新的黑产攻击商品。这种攻击方式技术水平不高但成效很好，且每种攻击方式都是黑产早已产业化的商品，很可能这种攻击方式未来会成为黑产中专门用来服务“花钱打压竞争对手”的一种新兴产业，主要对象将会是以短视频、直播为主的内容服务商，从而让黑产多一种牟利手段。

其指出，早在游戏产业盛行的时候，DDOS攻击就成为了“打压竞争对手”的热门黑产商品，而如今短视频、直播领域的火热，很有可能会在黑产引发一场“非法内容”攻击的火热。

而在这场没有硝烟的战争中，没有一方是旁观者——平台企业、监管机构、白帽安全社区乃至每一位普通用户，都是整体防线的重要组成部分。唯有构建一个开放协同、智能敏捷的安全生态，才能有效抵御下一场可能来袭的“安全秀”。

值得注意的是，事件发生后，快手App在12月23日冲上App Store免费榜第2位。只是，下载激增的背后，不乏“围观群众”。如何重建用户信任，将成为平台下一阶段的关键考验。

当日，资本市场同样对此事件作出了反应。港股快手低开3.30%，报64.5港元/股。截至收盘，快手股价跌幅为3.52%，市值2779亿港元，较前一日收盘时的2880.98亿港元蒸发近102亿港元。