AI時(shí)代第一場(chǎng)閃電襲擊

文｜《中國(guó)企業(yè)家》記者 趙東山

編輯｜何伊凡見習(xí)編輯｜李原

頭圖攝影｜肖麗

12月23日，快手App以一種不同尋常的方式，突然沖上蘋果App Store第二名。

“我正準(zhǔn)備看關(guān)注的主播帶貨，突然刷到幾個(gè)不堪入目的直播間，當(dāng)時(shí)還有家人在，退出來后整個(gè)直播廣場(chǎng)就全是這類內(nèi)容了?！?2月22日晚，快手用戶張強(qiáng)擁有了一次別樣的觀看體驗(yàn)。

當(dāng)晚，快手直播板塊短時(shí)間內(nèi)涌入大量低俗、暴力等違規(guī)內(nèi)容，其中既有直播間播放的錄像視頻，也有部分真人大尺度直播。多家媒體報(bào)道，安全漏洞持續(xù)了超過1.5小時(shí)，部分違規(guī)直播間的單場(chǎng)觀看量甚至逼近10萬(wàn)人次，嚴(yán)重破壞了平臺(tái)生態(tài)。甚至有網(wǎng)友調(diào)侃，快手直接變成“快播”。

直到12月23日0點(diǎn)后，有網(wǎng)友才發(fā)現(xiàn)App內(nèi)的“直播”板塊已無任何內(nèi)容顯示。為了緊急遏止違規(guī)內(nèi)容傳播，快手不得不臨時(shí)全盤下架直播功能。受此影響，快手港股23日股價(jià)下跌3.52%，市值蒸發(fā)101.52億港元。

行業(yè)普遍認(rèn)為，日活用戶4.16億的快手此次遭遇的，可能是近年來最大的基礎(chǔ)設(shè)施級(jí)別的安全事故。

12月22日晚，《中國(guó)企業(yè)家》就此事詢問快手，快手方面回復(fù)稱：“12月22日22時(shí)左右，平臺(tái)遭到黑灰產(chǎn)攻擊，目前正緊急處理修復(fù)中，平臺(tái)堅(jiān)決抵制違規(guī)內(nèi)容，相應(yīng)情況已上報(bào)給相關(guān)部門，并向公安機(jī)關(guān)報(bào)警。”

12月23日快手進(jìn)一步公開回應(yīng)稱：“本公司始終嚴(yán)守合規(guī)底線，堅(jiān)決反對(duì)任何違規(guī)內(nèi)容及行為。本公司強(qiáng)烈譴責(zé)黑灰產(chǎn)的違法犯罪行為，已就上述事宜向公安機(jī)關(guān)報(bào)警并向相關(guān)部門報(bào)告，并將視情況采取其他適當(dāng)?shù)姆裳a(bǔ)救措施，以保障本公司及其股東的權(quán)益。”

來源：快手聲明截圖

不過，快手并未披露此次網(wǎng)絡(luò)安全事件波及的直播間數(shù)量、封禁賬號(hào)規(guī)模、用戶商家權(quán)益影響等具體信息，也未公開事故具體原因、應(yīng)對(duì)措施和方案以及改進(jìn)動(dòng)作。

毫無疑問，快手是此次黑灰產(chǎn)攻擊的受害者，但從違規(guī)內(nèi)容大規(guī)模出現(xiàn)，到平臺(tái)采取關(guān)閉直播功能等徹底措施，響應(yīng)時(shí)間遲滯，也暴露出快手面對(duì)AI時(shí)代的新型網(wǎng)絡(luò)攻擊，在實(shí)時(shí)監(jiān)測(cè)、應(yīng)急決策和熔斷機(jī)制上存在短板。

截至發(fā)稿前，快手App在蘋果App Store免費(fèi)App排行榜上，已掉至第4名。

此次黑灰產(chǎn)攻擊為何發(fā)生？

“群魔亂舞”是用戶對(duì)12月22日當(dāng)晚快手直播間的直觀描述。但快手的應(yīng)對(duì)速度，讓這場(chǎng)事故持續(xù)了超過90分鐘。

據(jù)多位安全行業(yè)專家分析，攻擊快手平臺(tái)的違規(guī)直播間呈現(xiàn)明顯的“自動(dòng)化”特征：大量新注冊(cè)的賬號(hào)在同一時(shí)段集體開播，播放預(yù)制的非法視頻。即使平臺(tái)后臺(tái)不斷封禁單一賬號(hào)，仍難以有效遏制違規(guī)內(nèi)容。

此次黑灰產(chǎn)攻擊最核心的特殊性還在于，攻擊模式的根本性轉(zhuǎn)變。

奇安信網(wǎng)絡(luò)安全專家汪列軍告訴《中國(guó)企業(yè)家》：“黑灰產(chǎn)已全面進(jìn)入‘自動(dòng)化攻擊’時(shí)代。攻擊者并非針對(duì)單一漏洞，而是利用自動(dòng)化工具，在短時(shí)間內(nèi)批量注冊(cè)、操控海量僵尸賬號(hào)，實(shí)現(xiàn)了違規(guī)直播內(nèi)容的秒級(jí)發(fā)布與擴(kuò)散?！?/p>

最終，快手平臺(tái)不得不采取緊急止損措施：“無差別關(guān)?！敝辈ヮl道。

但這樣的動(dòng)作顯然過于粗放。“安全運(yùn)營(yíng)中心負(fù)責(zé)人的更優(yōu)解應(yīng)該是精準(zhǔn)打擊和局部熔斷，減少對(duì)其他用戶的使用體驗(yàn)。但顯然也是無奈之舉了，且要做下架直播功能這樣的重大決定，還要等待內(nèi)部審核報(bào)告的流程?！?/strong>一位互聯(lián)網(wǎng)安全行業(yè)從業(yè)者向《中國(guó)企業(yè)家》分析道。

那么，此次網(wǎng)絡(luò)黑灰產(chǎn)在入侵路徑上，又是如何實(shí)現(xiàn)的呢？

360數(shù)字安全集團(tuán)專家向《中國(guó)企業(yè)家》等媒體分析稱，這極有可能是一場(chǎng)有組織、有預(yù)謀的外部黑客攻擊。從技術(shù)路徑來看，攻擊者可能利用了直播推流接口的底層協(xié)議漏洞，繞過了平臺(tái)的實(shí)名認(rèn)證與內(nèi)容審核鏈路，最終實(shí)現(xiàn)批量賬號(hào)開播。

這種大規(guī)模、高頻次的黑產(chǎn)滲透，也暴露出了快手在應(yīng)對(duì)極端安全攻擊時(shí)的風(fēng)控防御體系存在明顯漏洞，以及平臺(tái)在面對(duì)極限壓力時(shí)的應(yīng)對(duì)局限。

有業(yè)內(nèi)人士指出，此次事故發(fā)生在晚上10點(diǎn)左右的用網(wǎng)高峰期，而非凌晨三四點(diǎn)?？焓职踩珗F(tuán)隊(duì)在風(fēng)險(xiǎn)感知、審查團(tuán)隊(duì)值班安排、技術(shù)策略合理性、應(yīng)急響應(yīng)方面都可能存在問題。

上述互聯(lián)網(wǎng)安全行業(yè)從業(yè)者告訴《中國(guó)企業(yè)家》，一個(gè)正規(guī)、成熟、完備的應(yīng)對(duì)黑灰產(chǎn)攻擊流程，應(yīng)是一個(gè)貫穿全生命周期的系統(tǒng)工程，通常分為三層：

第一，實(shí)時(shí)監(jiān)測(cè)系統(tǒng)的常態(tài)化監(jiān)測(cè)，能夠毫秒級(jí)分析用戶行為、內(nèi)容、交互模式，自動(dòng)識(shí)別并攔截異常；對(duì)平臺(tái)異常行為，快速識(shí)別與定性。

第二，啟動(dòng)分級(jí)應(yīng)急響應(yīng)與熔斷，為直播推流、大規(guī)模交易等平臺(tái)核心業(yè)務(wù)功能，設(shè)置自動(dòng)化或半自動(dòng)化的“熔斷開關(guān)”。當(dāng)系統(tǒng)檢測(cè)到異常流量或攻擊指標(biāo)超過閾值時(shí)，能自動(dòng)限流、功能降級(jí)或隔離受影響模塊。

第三，人工干預(yù)，快速?zèng)Q策，根據(jù)具體情況采取強(qiáng)制措施。根據(jù)《國(guó)家網(wǎng)絡(luò)安全事件報(bào)告管理辦法》，對(duì)于“較大”以上事件，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者報(bào)告時(shí)限不超過1小時(shí)，其他運(yùn)營(yíng)者向?qū)俚鼐W(wǎng)信部門報(bào)告時(shí)限不超過4小時(shí)。若涉嫌犯罪，必須立即向公安機(jī)關(guān)報(bào)案。

那么，快手作為國(guó)內(nèi)第二大的短視頻平臺(tái)，以往在安全防御體系搭建上是如何做的？

事實(shí)上，早在2025年8月舉辦的“AICon全球人工智能開發(fā)與應(yīng)用大會(huì)”上，快手安全算法中心負(fù)責(zé)人劉夢(mèng)怡還做過“從技術(shù)賦能到范式革新：快手安全大模型驅(qū)動(dòng)內(nèi)容審核智能化重塑”的主題分享。

劉夢(mèng)怡從內(nèi)容安全審核業(yè)務(wù)場(chǎng)景出發(fā)，介紹了快手安全算法團(tuán)隊(duì)自研安全多模態(tài)大模型的核心技術(shù)方案。

劉夢(mèng)怡的一個(gè)核心觀點(diǎn)是，在大模型時(shí)代，快手利用其強(qiáng)大的泛化識(shí)別能力和語(yǔ)義理解能力，可以直接作用于內(nèi)容物料識(shí)別出關(guān)鍵元素，并根據(jù)語(yǔ)義自動(dòng)歸納為層級(jí)的標(biāo)簽體系；這樣僅需要少量的人工標(biāo)注向規(guī)則做校正，同時(shí)也可以反向地去反哺規(guī)則本身，交互式的迭代，實(shí)現(xiàn)降本增效。

此外，快手在2025年4月發(fā)布的《2024年度環(huán)境、社會(huì)及管治報(bào)告》中明確宣稱，在內(nèi)容審查和攔截機(jī)制方面，快手采用機(jī)器審核與人工審核相結(jié)合的模式，提升審核效率與準(zhǔn)確性。

然而，此次黑灰產(chǎn)對(duì)快手安全防御體系的擊穿，證明快手以模型和規(guī)則為核心的防御體系，在應(yīng)對(duì)AI時(shí)代新型的極限壓力時(shí)，實(shí)時(shí)感知和瞬時(shí)熔斷機(jī)制仍存在明顯漏洞。

AI時(shí)代的網(wǎng)絡(luò)安全如何構(gòu)建？

隨著12月23日上午快手直播平臺(tái)功能基本恢復(fù)，這場(chǎng)持續(xù)90分鐘的攻擊事件表面上已告一段落。但快手和其他UGC平臺(tái)，都需要重新評(píng)估內(nèi)容安全防護(hù)能力；確保防御能力與用戶規(guī)模、內(nèi)容產(chǎn)量同步增長(zhǎng)。特別是當(dāng)平臺(tái)處于快速增長(zhǎng)期時(shí)，安全建設(shè)不能滯后于業(yè)務(wù)擴(kuò)張。

從快手財(cái)報(bào)數(shù)據(jù)看，快手2025年的收入增長(zhǎng)，尤其是電商和廣告，都非常依賴平臺(tái)生態(tài)的健康和用戶的信任。安全投入雖然在財(cái)報(bào)中帶來的業(yè)績(jī)影響不直接可見，但它是支撐核心商業(yè)骨架的基礎(chǔ)。

此外，這次黑產(chǎn)攻擊中最令人震驚的還有攻擊方技術(shù)的低成本與大模型結(jié)合后的破壞性。數(shù)美科技CTO梁堃在接受InfoQ專訪時(shí)指出：“黑產(chǎn)技術(shù)的升級(jí)并非漸進(jìn)式的改良，而是一次結(jié)構(gòu)性的代際跨越?！?/p>

過去，黑產(chǎn)為獲取高權(quán)重賬號(hào)需付出高額“養(yǎng)號(hào)”成本。如今，大模型成為黑產(chǎn)最高效的生產(chǎn)力工具。更具威脅的是，今年黑產(chǎn)已全面轉(zhuǎn)向Agent模式。Agent能夠理解指令并直接調(diào)用API，其生成的點(diǎn)擊、瀏覽、交互行為序列具備極高的擬人度，且執(zhí)行成本幾乎為零。

來源：AI生成

360集團(tuán)創(chuàng)始人周鴻祎此前在接受《中國(guó)企業(yè)家》采訪時(shí)就表示，AI越強(qiáng)大，它自身的安全問題就越嚴(yán)重，智能體被攻擊、濫用、誤導(dǎo)，都可能會(huì)成為大問題。當(dāng)前AI已經(jīng)進(jìn)入了千行百業(yè)，引發(fā)產(chǎn)業(yè)變革的同時(shí)，也帶來了很多新的安全挑戰(zhàn)。

比如大模型落地應(yīng)用過程中暴露的安全隱患，包括容易成為黑客攻擊目標(biāo)的模型漏洞；大模型輸入輸出中的不良內(nèi)容；智能體自身面臨的安全風(fēng)險(xiǎn)；“智能體黑客”的持續(xù)出現(xiàn)等等。

這也給各大平臺(tái)的安全防御帶來了更大壓力。“過去我們靠安全大數(shù)據(jù)和專家經(jīng)驗(yàn)，現(xiàn)在攻擊也在AI化、智能體化，并且速度、復(fù)雜度是指數(shù)級(jí)上升。”周鴻祎接受《中國(guó)企業(yè)家》采訪時(shí)說。

“過去黑客‘一將難求’，但現(xiàn)在可以把黑客的經(jīng)驗(yàn)和能力訓(xùn)練成智能體，能自動(dòng)完成漏洞掃描、發(fā)起攻擊、橫向滲透等一系列任務(wù)。一個(gè)人類黑客能管理幾十個(gè)甚至上百個(gè)黑客智能體，成為‘超級(jí)黑客’。這會(huì)讓網(wǎng)絡(luò)攻防從‘人與人’的對(duì)抗，變成‘人與機(jī)器’的對(duì)抗，甚至改變網(wǎng)絡(luò)戰(zhàn)的形態(tài)?！敝茗櫟t進(jìn)一步解釋稱。

那么，在AI時(shí)代下，企業(yè)該如何構(gòu)建自己的安全防火墻呢？

周鴻祎提到，企業(yè)要基于安全大模型、安全知識(shí)庫(kù)、安全工作流和安全工具，通過打造安全智能體，復(fù)刻人類高級(jí)安全專家的能力，7×24小時(shí)不眠不休，快速發(fā)現(xiàn)和處置安全問題，同時(shí)能有效應(yīng)對(duì)“智能體黑客”，適應(yīng)機(jī)器對(duì)機(jī)器、模型對(duì)模型的對(duì)抗新局面，最終實(shí)現(xiàn)AI時(shí)代的“安全自動(dòng)防御”。

快手遭遇的網(wǎng)絡(luò)攻擊不僅是一家公司的事件，更為整個(gè)互聯(lián)網(wǎng)行業(yè)敲響了警鐘?；ヂ?lián)網(wǎng)平臺(tái)的安全穩(wěn)定性不僅關(guān)乎企業(yè)自身，更關(guān)系到數(shù)億用戶的使用體驗(yàn)與財(cái)務(wù)等權(quán)益。

有專家建議推動(dòng)行業(yè)協(xié)同防御機(jī)制的建立；由多家平臺(tái)共同建立黑灰產(chǎn)情報(bào)共享平臺(tái)，形成行業(yè)聯(lián)防、聯(lián)控體系，共同應(yīng)對(duì)跨平臺(tái)的有組織攻擊。

在技術(shù)快速迭代的今天，黑灰產(chǎn)的攻擊手段也在不斷升級(jí)，互聯(lián)網(wǎng)平臺(tái)的這場(chǎng)攻防戰(zhàn)沒有終點(diǎn)。唯一確定的是，任何企業(yè)都需要比網(wǎng)絡(luò)黑產(chǎn)攻擊者更快一步。