被攻击后快手直播紧急拉闸前的两小时

黑灰产攻击让快手猝不及防。“快手直播间出事了。”12月22日，接近午夜时分，类似的消息在网上流窜，大量网友在并不知晓详情的情况下涌入快手直播间“吃瓜”。有网友告诉贝壳财经记者，自己只看到了不到一分钟的“传说中的内容”，直播间快速关闭。

几乎在同一时间，正在直播的电商商家也被迫中断，全平台直播陷入宕机状态，直播间一片寂静。

23日凌晨，贝壳财经记者自快手获悉，平台于22日22时左右遭到黑灰产攻击，已紧急处理修复中。“平台坚决抵制违规内容，相应情况已上报给相关部门，并向公安机关报警。”

从攻击发生到平台做出“拉闸”的决断，据记者采访获取的信息计算，大约经历了漫长的两个小时。

阻断黑灰产攻击为什么需要长达两个小时？有网络安全专家向贝壳财经记者表示，正常情况下平台通常会有针对低俗、色情、暴力等内容的视频审核服务。而一旦违规内容集中爆发，原本准备的视频智能审核的云投入的并发不够大，可能审核能力无法实时完成，也就造成了失控。而企业做出关停直播的决策也需要时间。

虽然快手按下了紧急制动“按键”，但互联网的热度却不断飙升。苹果应用商店截图显示，截至12月23日午间，快手升至免费App（应用程序）排行榜第二名，快手极速版排名第15。

12月23日午间，快手再度发布公告称，App直播功能已逐步恢复正常，其他服务未受影响。但资本市场仍旧用脚投票，截至记者发稿时，快手-W报每股64.35港元，下跌3.52%。

都有谁经历了这“失控的两小时”？黑灰产攻击是如何找到漏洞的？平台应如何从源头加固防线？

有用户目睹不到一分钟的色情内容直播，在线人数达26万

“快手直播间出事了。”

12月22日23时54分左右，一条来自朋友的消息，让一位平时并不怎么看快手的网友点开了快手App。直播界面推荐的第一个直播间，让他目睹了不到一分钟的色情内容直播，随后，画面戛然而止。

该网友提供的截图显示，截至23时56分，直播间在线人数达26万。随后直播间关闭，他在23日0时6分左右再度点开快手直播页面，页面显示“没有内容”。

受访者提供截图显示，当时直播间有26万人。

风暴同样掠过正在直播的主播。

一名快手电商商家向记者讲述经历时表示自己当时并不知道平台遭遇了攻击，“12时左右我们的直播被中断后就直接下播了。因为全平台都刷不出来直播内容，所以我们觉得这种情况一般都是平台的问题，就没有向运营反馈。”

另外，一位快手电商商家直播动态页面显示，其在22日20时29分至23时22分进行了直播，22日23时34分至23日0时9分再次进行直播，两次直播短暂进行后均被中断。

平台知晓遭到黑灰产攻击后，已紧急处理修复。但口子已被撕开，社交媒体网友热议，甚至有传言称，违规直播间中隐藏着病毒链接，许多用户点入后，微信账号即被盗取，不法分子随即向账号好友发送借款请求，实施诈骗。

对此，微信在23日上午11时08分回应称，经核实，上述信息不属实。微信账号有严格的安全保护机制，截至目前没有发现相关问题和收到类似反馈。

23日，平台直播间逐渐恢复正常，快手发布声明称，快手应用的直播功能已逐步恢复正常服务，其他服务未受影响。

舆论持续发酵，到23日中午时分，快手一度升至苹果应用商店免费App排行榜第二名，而它前后分别都是老对手字节系产品，第一名是豆包，第三名是红果短剧。

截至23日午间，记者查询苹果商店页面发现，快手居免费App排行榜第二名，快手极速版居第15名。

当防线被冲垮：算力挤兑与两小时的决策困境

社交媒体上真假难辨的消息折射出快手此次遭遇黑灰产攻击带来给公众的网络安全忧虑。

根据今年9月国家互联网信息办公室公布的《国家网络安全事件报告管理办法》，地市级以上党政机关、企事业单位门户网站，省级以上重点新闻网站，大型以上网络平台等被攻击篡改，导致违法有害信息大范围传播。以下情况之一，可认定为“大范围”：（1）在主页上出现并持续2小时以上，或在其他页面出现并持续12小时以上；（2）通过社交平台转发1万次以上；（3）浏览或点击次数10万以上；（4）省级以上网信部门、公安机关认定为是“大范围传播”的。

“从目前接收到的信息来看，（快手）大概率是被黑灰产集中利用开播导致的。几万个账户同时违规直播，占满‘视频AI审核’的算力，让直播内容审核系统产生大量队列甚至瘫痪，一定是这次攻击实施的必经之路。”网络安全专家曲子龙向贝壳财经记者解释道。“快手这次的问题，很多人反馈出现了大量的新号开播，但是不是通过手机号注册就能开播、没做实名身份认证，还是实名认证被技术绕过导致这些群控用户直接开播还未能确定。”

一位网络安全行业从业者揭示了攻击可能的起点：海量账号注册。黑灰产可能在一个存在大量手机SIM卡的“猫池”里以秒级为单位海量注册以万计的僵尸号。这些僵尸号注册为平台账户，再通过自动化脚本模拟真实用户行为，例如在网页上翻页、点赞等，绕开平台的风控模型，让平台误以为它是真实用户。而用户IP地址敏感，或出现发表不良言论等异常行为才可能会引起平台注意。

从快手宣称遭遇攻击到全平台直播内容“拉闸”大约经历了2个小时，背后可能是算力无法支撑大量违规内容并发审核，并且内部做出决策需要时间。显然，这套日常运转的防御机制，在当晚遭遇了极限压力测试。

“这背后，是算力无法支撑大量违规内容的并发审核，以及内部做出重大决策所需的时间。”曲子龙解释道。

他详细拆解了平台日常的审核逻辑：正常情况下，平台通常会有视频内容的低俗、色情、暴力等针对性的视频审核服务，一般先由智能AI审核，把鉴定准确且认可的直接封禁，疑似或者有问题的再推给人工客服来审核。平台的AI审核与实时的视频流相比是“异步”的，平台更多是把某个时间段的视频流切割成视频，推给AI审核，再反馈结果，这里存在时间阻隔。

他进一步解释称，在平台正常运行、低俗、色情内容不多的情况下，上述工作流可以正常运行。一旦违规内容集中式爆发，原本准备的视频智能审核的云投入的并发不够大，一堆需要审核的内容同一时间疯狂涌入智能AI审核任务里，造成审核能力无法实时完成，出现队列和拥堵，审核无法第一时间直接快速给予业务反馈这个直播是否有问题，业务自然也不知道问题到底出在哪个直播间，要关闭哪个。

“即便是业务发现了集中式的情况，从发现问题，扩宽业务审核的‘通路’到发现涉及直播间数量太多完全失控，再换方案上报高层决策直接关闭整个直播间，对一家大公司来说一定时间是很正常的。停了直播间是重大事故，每分钟都在创造经济价值，这个决策不是安全团队可以直接决策的。”他说。

企业网络安全事故发生后挡不住的谣言更值得深思。平台应如何从源头加固防线？

前述网络安全从业者认为，针对大量新账号同步开播等异常场景，平台需要提高风险评估机制敏感度，并具备时效性更高的中断推流机制。另外短时间注册大量新账号的场景也需要一定的风控。

曲子龙则提出了更根本的身份验证思路，抛开劫持问题，如果针对平台的账户认证问题，最好的方案就是不信任用户“过去的认证状态”，在直播前再次检验一次人脸识别，核对实名信息与直播本人是否吻合。“这样相当于签发了一张‘电子合同’，直播间再出现违法乱纪问题，如果并非因为平台技术漏洞导致的话，那应该是用户自己的违法问题。”

对于批量攻击占满审核资源的问题，他表示，一是加强算力，二是开设直播门槛，每个账户开播前都需要对比实名认证的身份与人脸核验，显然对黑灰产造成约束。

当下一次洪水来袭，堤坝是否已筑得更高、更智能？