2025 年 12 月 22 日晚上 11 点半,快手突然出现大量涩涩直播。
平台的审核系统形同虚设、用户举报和封禁都处理不过来、违规内容如潮水般爆发增长,有的直播间观看人数甚至超过 10 万。
快手不得不在凌晨 直接切断整个直播功能 来止损,过了半个多小时才逐渐恢复。妥妥的 P0 级事故了!
据说快手 APP 直接冲到了苹果应用商店的免费榜第 2:
还有网友放出几百万名老用户回归快手的截图:
各位老司机疯狂玩梗,什么网络问题衣服没加载出来之类的...... 果然涩涩是第一生产力。
有同学问我怎么现在才发这篇文章,因为我在下载快手,今夜无眠啊。(狗头)
快手官方当时给出了紧急回应:2025 年 12 月 22 日 22 时左右,平台遭到黑灰产攻击,已经向警方报案,目前正在紧急处理修复中。
那么问题来了:快手到底遭遇了什么攻击?黑灰产是怎么做到的?
作为一名程序员(不是老司机),下面从技术的角度带大家分析一下 可能的原因 。
什么是黑灰产?
先给大家科普一下什么是黑灰产。
黑灰产是 黑色产业 和 灰色产业 的统称,指的是利用技术手段进行违法犯罪活动的产业链。
黑产就是明确违法的,比如网络诈骗、盗号、贩卖个人信息等;灰产则是游走在法律边缘的,比如刷量、养号、接码平台等。
这些产业往往形成完整的产业链,分工明确,有人负责技术攻击,有人负责提供工具,有人负责销赃变现。
对于这次快手事件,主要有 2 个疑点:
-
为什么大量账号能在同一时段集体开播?
-
为什么违规内容能被推送到用户眼前?
我们就从这 2 个角度来分析,黑灰产可能用了哪些技术手段。
可能性 1、批量注册 + 绕过实名认证
首先,大量账号在同一时段集体开播违规内容,符合自动化的特征。
那么这些账号从哪儿来呢?
我觉得可能是黑灰产通过 接码平台 批量注册了大量账号,并绕过了实名认证。
什么是接码平台?
简单来说,就是提供临时手机号码接收验证码的服务。一般来说,注册账号时需要手机验证码,假如你想注册多个账号、但是没有多个手机号,那接码平台就能帮你搞定,而且价格便宜,几毛钱就能接一条验证码。
黑灰产可以通过接码平台,批量注册成千上万个快手账号。
但注册只是第一步,他们还需要绕过实名认证。
有一种可能是他们先从黑市购买他人的身份信息和人脸照片,然后利用技术手段伪造视频(比如 AI 换脸、虚拟摄像头),骗过了人脸识别系统。这就是为什么平台的实名制虽然能提高门槛,但依然无法完全杜绝黑灰产。
还有一种可能,如果快手接入了第三方实名认证服务,这些服务的接口存在漏洞,就可能被利用和绕过。
可能性 2、攻击审核 / 封禁系统
为什么违规内容能被推送到用户眼前呢?为什么没有及时封禁呢?
根据一些媒体报道,快手直播间当时弹出了官方弹幕:封禁接口被攻击了,在处理中。
这说明黑灰产可能攻击了快手的封禁系统,一种常见的手段是 DDoS 攻击。
DDoS(Distributed Denial of Service)是 分布式拒绝服务攻击 。作为一个网站经常被攻击的悲惨程序员,这我可太熟了......
简单来说,就是黑客控制大量的电脑或设备,同时向目标服务器发送海量请求,把服务器的资源耗尽,导致正常服务无法运行。
想象一下,一家餐厅本来能正常接待客人,结果突然来了一大群人,把餐厅挤得水泄不通,真正想吃饭的客人反而都进不去了。
如果黑灰产对快手的封禁或审核系统发起了 DDoS 攻击,就会导致这些系统瘫痪或者响应缓慢。
具体来说,平台的内容审核分为 机器审核 和 人工审核 两部分。一般机器审核负责初筛,人工审核负责复核。
如果审核系统被攻击,导致审核接口被打挂,机器审核就会直接放行内容,人工审核根本处理不过来。
而如果封禁系统被攻击,就没办法及时封禁违规内容和用户。
所以最终快手不得不采取 "无差别关停" 的极端措施,直接切断整个直播功能来止损。
可能性 3、直播推流接口漏洞
还有第 3 种可能,黑灰产利用了 直播推流接口 的底层漏洞。
什么是推流?
推流就是把直播内容从主播端推送到服务器的过程。你可以把它理解成 "上传直播画面"。
主播开播时,手机或电脑会通过推流接口,把音视频数据实时传输到快手的服务器,然后服务器再分发给观众。
有技术人员分析,攻击者可能利用了推流接口的漏洞,绕过了平台的实名认证和内容审核。
简单来说就是 "骗、抢、绕":伪造合法凭证骗过系统、劫持正常通道抢占资源、利用漏洞绕过审核。
这样一来,攻击者可以批量、自动化地推送违规内容,而且很难被及时发现和拦截。
这也解释了为什么这次事件中,大量账号能在同一时段集体开播,播放预制的非法视频。
写在最后
这次快手事件,官方定性为 "遭到网络攻击",但具体的攻击手段和技术细节,目前还没有公开。
所以我也只是结合网上的信息和自身的一些知识经验,给大家从多个角度分析可能的原因,科普一些真实存在的攻击方式。
有网友质疑说,真正的黑客是低调行事、以获利为目的的,这种高调的攻击更像是内鬼或者炫技。也有人说,超过 1 小时才处理完,反应速度确实有点慢。
这些质疑都有道理,毕竟网络安全是一个复杂的系统工程,可能涉及多个环节的漏洞,也可能是多种攻击手段的组合,甚至可能是内外勾结、社会工程等等。
希望快手能尽快查明真相,给大家一个交代。