中文互联网最大规模安全事故之一。

作者 I 薛星星

编辑 I 蒋浇

封面 I 我是谁：没有绝对安全的系统

中国最大短视频平台之一的快手科技昨日晚间（12 月 22 日）遭遇大规模网络攻击，直播频道出现大量色情及血腥内容，有媒体称部分直播间一度涌入近十万人观看。此后快手直播一度关停，至凌晨后陆续恢复正常。这是过去几年来中国互联网平台遭遇的最大规模安全事故之一。

12 月 23 日港股开盘，快手股价应声下跌，开盘跌近 6%，至收盘跌幅收窄为 3.52%。快手早间对外回应称，平台遭遇黑灰产攻击，目前已紧急修复处理。

午间，快手在港股发布自愿性公告，称快手应用直播功能于昨晚 22 时左右遭到网络攻击，公司已第一时间启动应急预案，经全力处置与系统修复，快手应用的直播功能已陆续恢复正常服务，快手应用的其他服务未受影响。

快手自愿性公告

相关讨论自今晨起不断发酵，真假信息混杂。一些谣言甚至波及到微信账号安全。今日早间，有传言称快手违规直播间中隐藏病毒链接，用户点击后微信账号即被盗取。

微信员工“客村小蒋”对外回应称，“昨晚到现在，没有相关的微信账号被盗案例。”随后，微信官方辟谣平台“谣言过滤器”对外表示，经核实上述信息不实。“微信账号有严格的安全保护机制，截至目前，我们没有发现相关问题和收到类似反馈。”

短时间内，快手在社交媒体上的关注度骤升。快手应用在苹果 App Store 中国区下载榜一度跃升至第二位，仅次于豆包，超过红果短剧。一张网传安卓手机应用商店截图显示，快手有 404 万人回归。

至今日下午，快手仍位列苹果 App Store 免费下载榜第二

亦有消息称快手正密集招聘安全岗位专家，涉及基础安全攻防技术专家、移动客户端漏洞挖掘工程师、应用安全专家等安全岗位。但《山上》查询快手招聘官网发现，上述部分安全岗位最新更新时间为 12 月 11 日，早于此次攻击事件。

快手招聘网页截图

相关媒体统计的快手被攻击时间线显示，昨晚 22 时之前即网络攻击正式发起前，已有部分用户反映登录异常、播放卡顿。22 时起攻击正式发起，部分消息称峰值时段有约 1.7 万个批量注册或被盗账号集中开播，传播涉黄内容及不良链接。快手未对网传攻击时间线及涉事账号数量置评。

不少网络安全公司都针对此次快手受攻击事件发表评论看法。360 数字安全集团专家对媒体表示，此次事件极有可能是一场有组织、有预谋的外部黑客攻击。从技术路径来看，攻击者可能利用了直播推流接口的底层漏洞，绕过了平台的实名认证与内容审核链路。“这种大规模、高频次的黑产渗透，暴露出快手在应对极端安全攻击时的风控防御体系存在明显漏洞。”

奇安信安全专家汪列军亦对外表示，此次攻击之所以能造成大规模破坏，核心原因在于黑灰产已全面迈入自动化攻击时代，而平台仍依赖传统人工防御模式。汪列军认为，传统人工审核已经无法应对规模化攻击。

直播一直是互联网监管的重点领域之一，但其监管难度也要远远大于其他互联网内容。过去几年，随着技术和监管层面的加强，短视频平台内的违规、不良直播已大为减少，但仍时不时曝出相关违规直播事件。

一位此前就职于字节跳动的脉脉认证员工在脉脉社区内发帖称，由于直播内容是实时生成实时消费的，因此直播的审核是所有内容形态中最复杂的。

据其透露，直播往往采用分级审核机制，不同直播间的审核力度不一，与热度、主题领域、主播历史信用等因素相关。高热直播间+高危直播间需要审核专员实时盯屏随时停播，低热直播间一般以机审+人工轮询抽检为主。

机审机制涉及画面抽帧流、语音 STT 流、直播间评论流等多条链路，每一路信号流都有独立的后链路机审和人审策略，任意一路出现问题都可能导致自动停推/停播。

“直播因为其特殊性，审核本就是在效率、安全性、性价比等各个维度中选择一个平衡点，而非图文/视频等静态内容选择最大化安全的策略，因此也是最容易被黑产攻击。”该人士表示。

近年来，全球互联网领域安全事件频发。比如上月互联网基础设施服务商 Cloudflare 的大规模宕机事件，导致包括 OpenAI、X、Spotify 等全球网站停摆。但此次事件并非网络攻击或恶意活动导致，而是 Cloudflare 自身资料库系统权限变更触发的 Bug。

历史上，不少互联网领域的大规模安全事故也都是由于自身技术漏洞产生。比如 2015 年 5 月支付宝遭遇的超 90 分钟大规模宕机，事故直接原因是杭州某地光缆被挖断，导致支付宝一个主要机房受到影响。阿里此后在技术层面实现“异地多活”，减少突发不可控事件造成的影响。

但此后支付宝小规模系统故障仍频频出现，仅在今年 8 月及 12 月，支付宝及阿里旗下淘宝、闲鱼、1688等众多应用就先后两次系统故障，导致大量用户付款异常。

同样在 2015 年 5 月，携程官网及 App 瘫痪近 12 小时，创下至今以来中国互联网公司系统瘫痪最长时间纪录。携程最初对外回应称服务器遭遇不明攻击，后续更正表述为系员工错误操作所致。一携程内部技术人员错误删除了生产服务器上的执行代码，导致系统崩溃。

今年国内更为知名网络安全攻击事件是年初 DeepSeek 遭遇的恶意攻击。今年 1 月，DeepSeek 爆火之后，线上服务一度遭遇外网大规模网络攻击，导致平台注册服务出现异常。为应对攻击，DeepSeek 一度限制了 +86 手机号以外的注册方式。

但无论是从事件影响程度还是攻击效果来看，此次快手遭遇的黑灰产攻击事件都堪称近年来中文互联网最大规模的安全事故之一。外界一度担忧快手内部风控安全漏洞以及技术风险，一些分析也指出相关事件可能引发监管关注，短期内可能会对直播业务产生影响。

直播是快手核心业务之一，2021 年之前一直是快手第一大收入来源。快手 2025 年第三季度财报显示，当季直播业务收入同比增长 2.5% 至 96 亿元，占总营收比重为 26.9%，位列快手第二大收入来源。快手在今日发布的自愿性公告中警告投资者，“敬请各位股东及潜在投资者在交易本公司证券时谨慎行事。”

快手 2025 年第三季度财报

今年 9 月公布的《国家网络安全事件报告管理办法》中列出了“网络安全事件分级指南”。其中，大型以上网络平台等被攻击篡改，导致违法有害信息传播，有以下情况之一，即可被认定为“大范围”。

具体包括：（1）在主页上出现并持续 2 小时以上，或在其他页面出现并持续 12 小时以上；（2）通过社交平台转发 1 万次以上；（3）浏览或点击次数 10 万以上；（4）省级以上网信部门、公安机关认定为是“大范围传播”的。

而一旦在主页上出现并持续 6 小时以上、通过社交平台转发 10 万次以上、浏览或点击次数达 100 万以上，则可被认定为“特大范围”。

《国家网络安全事件报告管理办法》规定，网络安全事件处置工作结束后，网络运营者应当于 30 日内对相关事件发生原因、应急处置措施、造成的危害、责任追究、完善整改情况、教训等进行全面分析总结，形成事件处置总结报告按照原渠道上报。

《办法》第十一条指出，发生网络安全事件时，网络运营者已采取合理必要的防护措施，按照应急预案进行处置、有效降低网络安全事件影响和危害，并按照本办法规定及时报告的，可视情从轻或不予追究相关单位和人员责任。