" 这并非一场供人猎奇的事故围观，也不该被简化为‘平台翻车’。"

文 / 巴九灵

前天晚上，快手的 " 晚高峰 "，上演了令人瞠目结舌的一幕。

12 月 22 日晚 21:30 左右，快手用户们原本都是搞笑段子、吃播、带货的信息流里突然开始夹杂进播放着露骨色情内容的直播间，评论区是清一色的问号和感叹号。

他们下意识地往下滑，下一个直播间仍然出现了类似内容。

22:00，异常直播不减反增进入爆发期，点举报的人越来越多，但依然挡不住如洪水般涌来的垃圾内容，有些人发现自己的举报显示为 " 提交失败 "。

23:00，社交媒体上开始上热搜词—— " 快手被黑了？"" 快手变快播 "。

24:00，快手直播彻底 " 拉闸 "，功能被下架，直到 45 分钟后恢复正常。

次日中午，港股快手科技发布公告：快手应用直播功能遭到网络攻击，公司已第一时间启动紧急预案。经全力处置与系统修复，直播功能已逐步恢复正常，其他功能未受影响。公司强烈谴责黑灰产的违法犯罪行为，已报警并向相关部门报告。

图源：快手科技

" 凶手 " 找到了，但案情依然扑朔迷离。" 作案动机 " 是什么？手法如何？为何是快手？会不会出现 " 下一个快手 "？待我们捋捋 " 案情 "，从中找寻一些蛛丝马迹。

一场奇袭

事发当晚，最先反应过来的是用户，最慢反应过来的是快手。

综合媒体报道，当晚，攻击者利用约 1.7 万个僵尸账号开设大量直播间，播放色情、暴力、恐怖等违规内容，状况持续超 1 小时，单场观看量最高达到 40 万人次。

人工审核在数以万计的违规账号面前，显得苍白无力。期间，举报信息大量涌入，以至于举报通道一度出现瘫痪，更加重了负担。

作案者惊人的杀伤力，成为第二天舆论场的焦点之一。有人分析攻击者是如何攻破了快手的 " 防火墙 "；有人同情地表示 " 快手程序员的年终奖如奶油一般化开 "。

一个不知道是不是惊喜的意外，是事发次日，在欲望与好奇心驱使下，快手冲上了 App Store 下载榜第二名，有报道称，超过 400 万用户因此下载或 " 回归 " 快手。

另一个舆情焦点，是一则谣言。有报道称，这些直播中隐藏着病毒链接，许多用户点入后，微信账号即被盗取，不法分子随即向账号好友发送借款请求，实施诈骗。相关信息也在多个微信群传播。

微信随后紧急辟谣，称上述信息不属实，截至目前没有发现相关问题和收到类似反馈。

风波和快手的股价一样，经历了暴跌又逐渐缓和：快手港股开盘暴跌近 6%，随后止跌回升，截至下午收盘，下跌 3.52%，单日市值蒸发 95 亿港元。

对于这次作案者的动机，上海金融与法律研究院研究员刘远举列举了多种猜测：如事先做空股票，从资本市场牟利；如黑客曾向快手索要过保护费，但未引起重视，前者开始 " 报复 "；如为了获取用户行为数据和个人信息，后续用于精准诈骗；再如黑客组织纯粹为了扬名立万、打响名声，等等。

真实的动机有待有关部门进一步调查，但有一点可以肯定—— " 无利不起晚 "。更重要的是，像快手这样体量的公司，居然能被网络黑灰产奇袭成功，这本身就已经说明了问题。

如虎添翼的惯犯

从定义上讲，" 黑产 " 是指直接触犯国家法律法规的产业；" 灰产 " 是指游走在法律法规不明确的边缘地带、打 " 擦边球 " 的产业。

北京大成律师事务所杭州办公室律师王征驰表示，从最终指向看，典型的网络黑灰产包括三类：一是色情服务，二是赌博，三是金融，主要涉及理财诈骗和非法借贷。

围绕它们，网络黑灰产形成了完整的上下游灰色产业链：上游提供账号批量注册、假冒身份工具，中游供应诈骗话术、引流技术、钓鱼网站，下游提供灰色支付渠道、洗钱、外汇买卖等。

网络黑灰产近年发展很快。研究机构威胁猎人发布的报告显示，今年上半年，国内日均活跃风险 IP 数量达到 1382 万个，较去年下半年增长 15.02%。

而在这次 " 奇袭快手 " 事件中，有专业人士认为，这个老惯犯如今有了新帮手—— AI。以此，他们凭经验还原了 " 作案手法 "。

首先，黑灰产利用脚本批量注册或劫持了僵尸账号，并且伪造身份绕过了实名认证与人脸核验；

接着，利用直播推流接口底层漏洞或数据劫持，绕开前置审核，同时借助 AI 换脸、局部遮挡、篡改码率等技术，骗过了 AI 内容审核系统；

随后，借助快手直播 " 先发后审 " 的机制，趁被识破前的空档，用僵尸号 " 加热 " 直播（类似刷量），瞬间营造出很高的活跃度，欺瞒算法后，再反向推动违规直播进入更大的流量池，可谓借力打力，星星之火瞬间燎原。

当这样的操作达到一定的数量，形成围攻之势，就此彻底突破了快手的防火墙，此时，人工审核根本不足以应对汹涌而来的违规行为，除了彻底关闭直播功能，别无他法。

值得警惕的是，攻击者并没有像传统的黑客入侵那样直接攻击平台的 " 硬防火墙 "，如利用系统漏洞、数据泄露或入侵平台核心系统，而是在合规的范畴内，利用漏洞和 " 号海战术 "，以量变触发质变。

快手直播频道在 23 日 0 时前后被清空

不止快手

并不是只有快手防不住。

2025 年上半年，利用 AI 技术实施的电信诈骗案件平均涉案金额比传统诈骗高出 3 — 5 倍。某省政务平台在 2025 年 4 月曾检测到大规模 AI 伪造人脸攻击，攻击者使用生成的人脸图像尝试绕过实名认证，单日攻击量最高达 2.3 万次。

全球范围内，各大社交与直播平台如 YouTube、TikTok、Facebook 等都曾遭遇过批量账号恶意操纵违规内容攻击。

今年 6 月，外媒报道有恶意机器人网络利用 Facebook 的 AI 审核系统漏洞，大规模举报合法群组，导致这些群被封禁。仅 6 月 24 日一天之内，就有上千个群被封禁，包括一些运营多年、拥有几十万成员的大型社区。

这一过程中，这些机器人在几分钟内高频提交上百次举报，让 AI 审核系统不堪重负。出于谨慎，系统选择自动封禁对应群组。

数字经济学者刘兴亮告诉小巴，防控网络黑灰产如今面临诸多难点：传统的人工审核 + 规则治理，难以应对规模化攻击；高级手段能够绕过实名认证；AI 生成内容让识别更复杂，而严格的审核和平台推荐效率之间又存在矛盾；恶意链接、外部诱导、社交账号关联等跨平台复合攻击，也提升了防守难度。

从法律角度，王征驰还提到，网络黑灰产难以追责。

一方面，网络黑灰产大多是跨境犯罪，只有少数有司法协助的国家，才会允许入境抓捕，而且受制于法律体系不同，取证、移送也面临一系列困难。

另一方面，网络空间的隐蔽性，让信息和钱款溯源困难。虽然注册网络账号已经实名制管理，但个人信息非法买卖长期存在，增加了身份核验和追责的难度。

网络防御演习上模拟被黑客攻击

为什么是快手？

业内判断，这次入侵属于 T0 级（最高级）的安全事故。对快手而言，其危害是实质性的，包括但不限于品牌声誉损害、用户流失、运营与安全成本提升、潜在的法律责任与监管处罚风险。

那么，为什么是快手？

在刘兴亮看来，这类攻击者在选择目标时，通常会考虑以下几个因素：

▶▷一是庞大的活跃用户数与传播能力。快手拥有亿级用户，一旦违规内容突破防线，影响极大。

▶▷二是直播推流场景对实时性要求高，对延迟敏感，平台在安全与效率之间可能更难权衡。

▶▷三是平台可能存在系统漏洞或防护短板，让攻击者能够利用协议级漏洞绕过部分防护机制。

刘远举则提到另一点：快手的用户群体，和网络黑灰产的目标群体有一定程度重合。

面对攻击，平台也有其无奈之处。

目前，平台主要依赖人工审核与传统防御，而网络攻击方式多样、动态变化，规则封堵常滞后于攻击者技术更新。

从成本角度看，平台防御需投入大量资源，难以全面覆盖。

刘远举提醒平台，需加快升级技术防御措施，构建用 AI 对抗 AI 的防御体系，利用深度学习识别异常账号和内容，实施 " 人机识别 + 实名验证 + 行为分析 " 三重防护。此外，优化内容审核团队配置，保证 24 小时全覆盖，建立跨部门安全联动机制，确保危机快速处置。

这场危机也为每一个互联网用户敲响了警钟。对此，刘兴亮建议：

最后，值得深思的是：这并非一场供人猎奇的围观事故，也不该被简化为 " 平台翻车 "。它更像一次提醒：网络黑灰产在技术加持下，正反复试探平台与社会的底线。只有正视这种系统性风险，而非娱乐化和指责，我们才可能避免 " 下一个快手 " 的出现。