“这并非一场供人猎奇的事故围观，也不该被简化为‘平台翻车’。”

文 /巴九灵

前天晚上，快手的“晚高峰”，上演了令人瞠目结舌的一幕。

12月22日晚21:30左右，快手用户们原本都是搞笑段子、吃播、带货的信息流里突然开始夹杂进播放着露骨色情内容的直播间，评论区是清一色的问号和感叹号。

他们下意识地往下滑，下一个直播间仍然出现了类似内容。

22:00，异常直播不减反增进入爆发期，点举报的人越来越多，但依然挡不住如洪水般涌来的垃圾内容，有些人发现自己的举报显示为“提交失败”。

23:00，社交媒体上开始上热搜词——“快手被黑了？”“快手变快播”。

24:00，快手直播彻底“拉闸”，功能被下架，直到45分钟后恢复正常。

次日中午，港股快手科技发布公告：快手应用直播功能遭到网络攻击，公司已第一时间启动紧急预案。经全力处置与系统修复，直播功能已逐步恢复正常，其他功能未受影响。公司强烈谴责黑灰产的违法犯罪行为，已报警并向相关部门报告。

图源：快手科技

“凶手”找到了，但案情依然扑朔迷离。“作案动机”是什么？手法如何？为何是快手？会不会出现“下一个快手”？待我们捋捋“案情”，从中找寻一些蛛丝马迹。

一场奇袭

事发当晚，最先反应过来的是用户，最慢反应过来的是快手。

综合媒体报道，当晚， 攻击者利用约1.7万个僵尸账号开设大量直播间，播放色情、暴力、恐怖等违规内容，状况持续超1小时，单场观看量最高达到40万人次。

人工审核在数以万计的违规账号面前，显得苍白无力。期间，举报信息大量涌入，以至于举报通道一度出现瘫痪，更加重了负担。

作案者惊人的杀伤力，成为第二天舆论场的焦点之一。有人分析攻击者是如何攻破了快手的“防火墙”；有人同情地表示“快手程序员的年终奖如奶油一般化开”。

一个不知道是不是惊喜的意外，是事发次日，在欲望与好奇心驱使下，快手冲上了App Store下载榜第二名，有报道称，超过400万用户因此下载或“回归”快手。

另一个舆情焦点，是一则谣言。有报道称，这些直播中隐藏着病毒链接，许多用户点入后，微信账号即被盗取，不法分子随即向账号好友发送借款请求，实施诈骗。相关信息也在多个微信群传播。

微信随后紧急辟谣，称上述信息不属实，截至目前没有发现相关问题和收到类似反馈。

风波和快手的股价一样，经历了暴跌又逐渐缓和：快手港股开盘暴跌近6%，随后止跌回升，截至下午收盘，下跌3.52%，单日市值蒸发95亿港元。

对于这次作案者的动机，上海金融与法律研究院研究员刘远举列举了多种猜测：如事先做空股票，从资本市场牟利；如黑客曾向快手索要过保护费，但未引起重视，前者开始“报复”；如为了获取用户行为数据和个人信息，后续用于精准诈骗；再如黑客组织纯粹为了扬名立万、打响名声，等等。

真实的动机有待有关部门进一步调查，但有一点可以肯定——“无利不起晚”。更重要的是， 像快手这样体量的公司，居然能被网络黑灰产奇袭成功，这本身就已经说明了问题。

如虎添翼的惯犯

从定义上讲，“黑产”是指直接触犯国家法律法规的产业；“灰产”是指游走在法律法规不明确的边缘地带、打“擦边球”的产业。

北京大成律师事务所杭州办公室律师王征驰表示，从最终指向看，典型的网络黑灰产包括三类：一是色情服务，二是赌博，三是金融，主要涉及理财诈骗和非法借贷。

围绕它们，网络黑灰产形成了完整的上下游灰色产业链：上游提供账号批量注册、假冒身份工具，中游供应诈骗话术、引流技术、钓鱼网站，下游提供灰色支付渠道、洗钱、外汇买卖等。

网络黑灰产近年发展很快。研究机构威胁猎人发布的报告显示， 今年上半年，国内日均活跃风险IP数量达到1382万个，较去年下半年增长15.02%。

而在这次“奇袭快手”事件中，有专业人士认为，这个老惯犯如今有了新帮手——AI。以此，他们凭经验还原了“作案手法”。

首先，黑灰产利用脚本批量注册或劫持了僵尸账号，并且伪造身份绕过了实名认证与人脸核验；

接着，利用直播推流接口底层漏洞或数据劫持，绕开前置审核，同时借助AI换脸、局部遮挡、篡改码率等技术，骗过了AI内容审核系统；

随后，借助快手直播“先发后审”的机制，趁被识破前的空档，用僵尸号“加热”直播（类似刷量），瞬间营造出很高的活跃度，欺瞒算法后，再反向推动违规直播进入更大的流量池，可谓借力打力，星星之火瞬间燎原。

当这样的操作达到一定的数量，形成围攻之势，就此彻底突破了快手的防火墙，此时，人工审核根本不足以应对汹涌而来的违规行为，除了彻底关闭直播功能，别无他法。

值得警惕的是， 攻击者并没有像传统的黑客入侵那样直接攻击平台的“硬防火墙”，如利用系统漏洞、数据泄露或入侵平台核心系统，而是在合规的范畴内，利用漏洞和“号海战术”，以量变触发质变。

快手直播频道在23日0时前后被清空

不止快手

并不是只有快手防不住。

2025年上半年，利用AI技术实施的电信诈骗案件平均涉案金额比传统诈骗高出3—5倍。某省政务平台在2025年4月曾检测到大规模AI伪造人脸攻击，攻击者使用生成的人脸图像尝试绕过实名认证，单日攻击量最高达2.3万次。

全球范围内，各大社交与直播平台如YouTube、TikTok、Facebook等都曾遭遇过批量账号恶意操纵违规内容攻击。

今年6月，外媒报道有恶意机器人网络利用Facebook的AI审核系统漏洞，大规模举报合法群组，导致这些群被封禁。仅6月24日一天之内，就有上千个群被封禁，包括一些运营多年、拥有几十万成员的大型社区。

这一过程中，这些机器人在几分钟内高频提交上百次举报，让AI审核系统不堪重负。出于谨慎，系统选择自动封禁对应群组。

从法律角度，王征驰还提到， 网络黑灰产难以追责。

一方面，网络黑灰产大多是跨境犯罪，只有少数有司法协助的国家，才会允许入境抓捕，而且受制于法律体系不同，取证、移送也面临一系列困难。

另一方面，网络空间的隐蔽性，让信息和钱款溯源困难。虽然注册网络账号已经实名制管理，但个人信息非法买卖长期存在，增加了身份核验和追责的难度。

网络防御演习上模拟被黑客攻击

为什么是快手？

业内判断，这次入侵属于T0级（最高级）的安全事故。 对快手而言，其危害是实质性的，包括但不限于品牌声誉损害、用户流失、运营与安全成本提升、潜在的法律责任与监管处罚风险。

那么，为什么是快手？

在刘兴亮看来，这类攻击者在选择目标时，通常会考虑以下几个因素：

▶▷一是庞大的活跃用户数与传播能力。快手拥有亿级用户，一旦违规内容突破防线，影响极大。

▶▷二是直播推流场景对实时性要求高，对延迟敏感，平台在安全与效率之间可能更难权衡。

▶▷三是平台可能存在系统漏洞或防护短板，让攻击者能够利用协议级漏洞绕过部分防护机制。

刘远举则提到另一点：快手的用户群体，和网络黑灰产的目标群体有一定程度重合。

面对攻击，平台也有其无奈之处。

目前，平台主要依赖人工审核与传统防御，而网络攻击方式多样、动态变化，规则封堵常滞后于攻击者技术更新。

从成本角度看，平台防御需投入大量资源，难以全面覆盖。

这场危机也为每一个互联网用户敲响了警钟。对此，刘兴亮建议：

◎ 第一，增强安全意识，遇到大量异常或违规直播内容要迅速举报。

◎ 第二，拒绝点击不明链接：尤其在直播间外链或诱导信息中。

◎ 第三，加强账号安全保护，开启二步验证等。

◎ 第四，理解平台应急响应机制：某些时刻功能暂停是安全策略的一部分。

最后，值得深思的是：这并非一场供人猎奇的围观事故，也不该被简化为“平台翻车”。它更像一次提醒： 网络黑灰产在技术加持下，正反复试探平台与社会的底线。只有正视这种系统性风险，而非娱乐化和指责，我们才可能避免“下一个快手”的出现。

本篇作者 | 温若梅 | 责任编辑 | 何梦飞

主编 | 何梦飞 | 图源 | VCG、网络

惊艳、尖叫和思考，都会出现在这场AI大秀上！12月28日在厦门，吴老师将通过一场名为“AI闪耀中国”科技人文秀，把他在今年的“AI大调研”成果展现给大家~

合作支持

联合出品：吴晓波频道、优酷、七维动力、东南卫视

官方AI助手：千问

首席战略合作伙伴：厦门国贸控股集团

首席AI进化伙伴：飞书

超级品牌：金牌家居、双鹿电池、东鹏瓷砖 · 卫浴、联想、1688、慕思集团、百度智能云、九牧集团、Fotile方太