IT之家 12 月 24 日消息,快手直播功能于 2025 年 12 月 22 日 22:00 左右遭到网络攻击,多个直播间出现违法内容。火绒安全今日发文,对此次事件进行了分析及讲解。
火绒表示,该短视频平台遭遇了一次具有里程碑意义的网络安全挑战。攻击者利用自动化手段,对平台的直播审核与管控系统进行了针对性干扰,导致部分违规内容在短时间内突破了常规审核。IT之家汇总如下:
-
前序探测期(12 月 22 日 18:00-20:00):平台出现零星违规内容,但在正常风控范围内被迅速清理。
-
攻击爆发期(12 月 22 日 22:00):流量晚高峰,大量新注册及被劫持账号几乎同时开播,播放预制违规视频。
-
系统僵持期(12 月 22 日 22:00-23:00):违规直播间持续存在,用户举报反馈失效,后台封禁指令执行出现显著滞后。
-
应急阻断期(12 月 22 日 23:00-23 日 00:30):直播入口显示“服务器繁忙”,随后整个直播频道内容清空。
-
服务恢复期(12 月 23 日 08:00):违规内容完成清洗,直播功能逐步恢复。
在此次攻击的爆发期,黑产利用“群控”与自动化脚本实现毫秒级并发,造成“业务逻辑层拥塞”。攻击者特意选择人力审核交接班且用户流量最大的薄弱时段,意在最大化攻击的社会影响与系统压力。
根据火绒技术复盘,其攻击过程呈现出高度组织化和智能化的特点。攻击并非单纯追求流量冲击,而是针对平台业务逻辑中的关键环节 ——“内容识别后的封禁执行接口”,发起了高频请求,意在耗尽系统后端处理资源。这使得系统在能够快速识别违规内容的同时,却无法及时执行封禁操作,陷入了“能发现、难处置”的状态。为控制事态,平台一度采取了暂时关闭直播入口的应急措施。
传统的 DDoS,旨在耗尽带宽;或者针对应用层耗尽 HTTP 连接数。然而,“12・22”事件展现出了一种更为隐蔽且高效的形态,行业内将其定义为业务逻辑 DDoS 。
攻击者通过对“封禁执行接口”实施高频洪泛攻击,耗尽了后端计算资源。这导致系统陷入虽能秒级识别违规,但无力落实封禁的逻辑瘫痪,如同报警系统灵敏作响,但执法车辆却被恶意拥堵彻底困死。
火绒分析指出,此次攻击反映出黑产工具正在向更高级的形态演进。攻击工具不仅能够模拟人类操作行为以绕过基础防御规则,还表现出一定的环境感知与自主决策能力,同时展现出多智能体协作能力,例如在遇到阻力时自动切换策略。这种基于 AI 智能体的攻击方式,大大提升了攻击效率并增加了防御难度。
面对此类新型威胁,单纯依靠传统的规则过滤已显不足。火绒认为,防御思路需要升级,未来可能需要利用 AI 技术来对抗 AI 攻击。例如,通过生成对抗性样本干扰攻击者的识别模型,或部署能够动态生成交互陷阱的“生成式蜜罐”,以大幅提高攻击者的执行成本和经济负担。
此外,无论是企业还是个人用户,筑牢终端设备的安全防线,防止设备被恶意控制成为攻击源头,仍是网络安全的基础环节。
本次事件虽发生在服务端,但暴露出两个与端侧紧密相关的问题:
一是攻击流量源于失控的端侧(无论是模拟的还是被劫持的);
二是对于 MCN 机构和专业主播而言,其推流终端本身就是高价值的攻击目标。
因此,火绒安全专家认为,在面对类似“12・22”这般复杂的网络安全事件时,端侧安全不应仅仅被视为保护个人电脑的工具,它应该是整个互联网安全生态的基石。
在该事件中,如果我们将视角从受害者(服务器)移向攻击者(发起推流请求的终端),会发现防御的最佳时机其实是在请求发出之前。对于企业而言,如果攻击流量来自于被控制的内部办公电脑或被植入木马的业务终端,那么部署强有力的端侧防护就是切断攻击的“熔断器”;对于个人用户来说,反病毒引擎的普及则是防止设备沦为黑产帮凶的根本。
对此,火绒安全建议广大用户,针对性筑牢端侧安全防线:企业需部署具备场景化防护能力的终端安全方案,通过 IP 协议精准管控、程序执行白名单、外设接入限制等功能,锁定终端业务边界;个人用户也应安装正规安全软件,及时更新系统与防护规则,借助弹窗拦截、网页威胁防护等功能,规避恶意攻击风险。
相关阅读:
-
《快手:直播功能遭到网络攻击,已第一时间启动应急预案》
-
《微信员工回应快手直播事件出现微信被盗传闻:昨晚到现在,没有相关的账号被盗案例》
-
《快手:遭到灰黑产攻击,正在修复处理中,已报警》
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
