快手遭遇黑灰产大规模网络攻击，直播出现违规内容，股价应声下跌

封面语 | 我是谁：没有绝对安全的系统

作为中国领先的短视频平台之一，快手科技在12月22日晚上遭受了严重的网络攻击，其直播频道被大量色情和血腥内容充斥。据媒体报道，某些直播间在攻击高峰时吸引了近十万名观众。事件发生后，快手直播服务暂时关闭，直到次日凌晨才逐步恢复。这起事件堪称近年来中国互联网领域所遭遇的最为重大的安全事故之一。

12月23日港股开盘后，快手股价大幅下挫，开盘跌幅接近6%，最终收盘时跌幅收窄至3.52%。快手在当天早上对外声明，确认平台遭受了黑灰产组织的攻击，并已紧急采取措施进行修复。

中午时分，快手在港交所发布自愿性公告，详细说明其直播功能在22日晚22时左右遭遇网络攻击。公司迅速启动了应急响应机制，经过全力处理和系统恢复，直播功能已逐步恢复正常，其他服务未受影响。

快手发布的自愿性公告截图

从23日早晨开始，关于此次攻击的讨论在社交媒体上迅速扩散，各种真假消息交织。其中一些谣言甚至影响到微信账号的安全。早上有传言指出，快手违规直播间内含有病毒链接，用户一旦点击就会导致微信账号被盗。

微信员工“客村小蒋”公开回应称：“从昨晚到现在，我们未发现任何微信账号被盗的案例。”紧接着，微信官方辟谣平台“谣言过滤器”也发布声明，证实上述传言为虚假信息，并强调“微信账号拥有严密的安全保护机制，截至目前，没有收到相关反馈或发现问题。”

事件发生后，快手在社交媒体上的热度急剧攀升。其在苹果App Store中国区免费下载榜上的排名一度冲至第二，仅次于豆包，超越了红果短剧。网络上流传的一张安卓应用商店截图显示，快手有404万用户“回归”。

截至23日下午，快手依然保持在苹果App Store免费下载榜的第二位。

与此同时，有消息指出快手正在积极招募安全领域的专业人才，包括基础安全攻防技术专家、移动客户端漏洞挖掘工程师、应用安全专家等职位。然而，据《山上》查询快手官方招聘网站，这些岗位的最新更新时间是12月11日，在攻击事件发生之前。

快手招聘网页截图显示相关安全岗位招聘信息

根据相关媒体梳理的攻击时间线，在22日22时攻击正式开始前，已有部分用户报告登录异常和播放卡顿。22时起攻击全面展开，据称在高峰时段约有1.7万个批量注册或被盗取的账号同时开播，传播色情内容及恶意链接。快手方面未对流传的攻击时间线和涉及账号数量做出回应。

多家网络安全公司对此次快手遭袭事件发表了看法。360数字安全集团的专家向媒体分析，这很可能是一次有组织、有预谋的外部黑客攻击。从技术层面看，攻击者或许利用了直播推流接口的底层漏洞，成功绕过了实名认证和内容审核流程。专家表示：“如此大规模、高频率的黑产渗透，揭示了快手在面对极端安全威胁时，其风控防御体系存在显著短板。”

奇安信的安全专家汪列军也指出，这次攻击造成重大破坏的根本原因，在于黑灰产已进入自动化攻击时代，而平台却仍停留在传统人工防御阶段。汪列军强调，单纯依靠人工审核已无法有效抵御规模化、自动化的攻击。

直播内容始终是互联网监管的重中之重，其监管复杂性远超其他类型的内容。近年来，随着技术手段和监管政策的不断加强，短视频平台上的违规和不良直播现象已显著减少，但偶尔仍会有相关事件被曝光。

一位曾在字节跳动工作的脉脉认证用户在脉脉社区发帖表示，直播内容的实时生成和消费特性，使其审核成为所有内容形态中最为复杂的一环。

据其介绍，直播通常采用分级审核机制，不同直播间的审核强度取决于热度、内容领域、主播历史信用等多个因素。高热度且高风险的内容需要审核专员实时监控并随时中断直播，而低热度直播间则主要依靠机器审核加人工抽检。

机器审核机制涵盖了画面抽帧分析、语音转文字流、评论区内容流等多个数据链路。每条链路都配备了独立的后台机器审核和人工审核策略，任何一条链路出现异常都可能触发自动停止推送或中断直播。

该人士补充道：“由于直播的特殊性，审核必须在效率、安全性和成本之间寻找平衡点，而不能像对待图文或视频等静态内容那样采取最大化安全的策略。这使得直播成为黑产最容易攻击的目标。”

近年来，全球互联网领域的安全事件层出不穷。例如，上月互联网基础设施服务商Cloudflare发生大规模宕机，导致OpenAI、X、Spotify等众多全球网站服务中断。不过，该事件并非由网络攻击引起，而是由于Cloudflare自身数据库系统权限变更引发的故障。

历史上，许多互联网大规模安全事故源于自身技术漏洞。以2015年5月支付宝超过90分钟的大规模宕机为例，直接原因是杭州某地光缆被意外挖断，导致其核心机房中断服务。此后，阿里巴巴通过技术升级实现了“异地多活”架构，以降低突发意外事件带来的影响。

然而，支付宝此后仍不时出现小规模系统故障。仅在2025年8月和12月，支付宝以及阿里巴巴旗下的淘宝、闲鱼、1688等多个应用就先后发生两次系统故障，导致大量用户支付异常。

同样在2015年5月，携程官网及App瘫痪近12小时，至今仍是中国互联网公司系统瘫痪的最长纪录。携程最初声称服务器遭受不明攻击，随后更正为内部员工操作失误所致。一名技术人员错误删除了生产服务器上的执行代码，最终导致系统崩溃。

今年国内更受关注的网络安全攻击事件当属年初DeepSeek遭遇的恶意攻击。2025年1月，DeepSeek走红后不久，其线上服务遭受了大规模外部网络攻击，导致注册功能异常。为应对这一情况，DeepSeek曾暂时限制非+86手机号的注册。

然而，无论从影响范围还是攻击效果来看，本次快手遭受的黑灰产攻击事件，都堪称近年来中文互联网领域规模最大的安全事故之一。外界对快手内部风控漏洞和技术风险表示担忧，一些分析人士认为，该事件可能引起监管部门的关注，短期内或将对快手的直播业务造成冲击。

直播作为快手核心业务之一，在2021年之前一直是其最主要的收入来源。根据快手2025年第三季度财报，该季度直播业务收入达到96亿元，同比增长2.5%，占总营收的26.9%，成为第二大收入来源。在23日发布的自愿性公告中，快手提醒投资者：“敬请各位股东及潜在投资者在交易本公司证券时谨慎行事。”

快手2025年第三季度财报截图

2025年9月发布的《国家网络安全事件报告管理办法》中明确了“网络安全事件分级指南”。根据规定，大型及以上网络平台遭受攻击篡改，造成违法有害信息传播，若满足以下任一条件，即可判定为“大范围传播”。

具体标准包括：（1）在平台主页上出现并持续超过2小时，或在其他页面出现并持续超过12小时；（2）通过社交媒体转发超过1万次；（3）被浏览或点击超过10万次；（4）被省级以上网信部门或公安机关认定为“大范围传播”。

若在主页上出现并持续超过6小时，或通过社交媒体转发超过10万次，或被浏览点击超过100万次，则可被定性为“特大范围传播”。

《国家网络安全事件报告管理办法》要求，在网络安全事件处置完毕后，网络运营者必须在30天内对事件原因、应急措施、危害程度、责任认定、整改方案及经验教训进行全面复盘，并形成事件处置总结报告，按原报告渠道提交。

该办法第十一条还指出，如果在发生网络安全事件时，网络运营者已采取合理必要的防护措施，严格按照应急预案进行处置，有效降低了事件的影响和危害，并按规定及时上报，可视情况从轻或免于追究相关单位和人员的责任。