前天晚上，快手的“晚高峰”，上演了令人瞠目结舌的一幕。 

12月22日晚21:30左右，快手用户们原本都是搞笑段子、吃播、带货的信息流里突然开始夹杂进播放着露骨色情内容的直播间，评论区是清一色的问号和感叹号。 

他们下意识地往下滑，下一个直播间仍然出现了类似内容。 

22:00，异常直播不减反增进入爆发期，点举报的人越来越多，但依然挡不住如洪水般涌来的垃圾内容，有些人发现自己的举报显示为“提交失败”。 

23:00，社交媒体上开始上热搜词——“快手被黑了？”“快手变快播”。 

24:00，快手直播彻底“拉闸”，功能被下架，直到45分钟后恢复正常。 

次日中午，港股快手科技发布公告：快手应用直播功能遭到网络攻击，公司已第一时间启动紧急预案。经全力处置与系统修复，直播功能已逐步恢复正常，其他功能未受影响。公司强烈谴责黑灰产的违法犯罪行为，已报警并向相关部门报告。

图源：快手科技

“凶手”找到了，但案情依然扑朔迷离。“作案动机”是什么？手法如何？为何是快手？会不会出现“下一个快手”？待我们捋捋“案情”，从中找寻一些蛛丝马迹。

一

一场奇袭 

事发当晚，最先反应过来的是用户，最慢反应过来的是快手。 

综合媒体报道，当晚，攻击者利用约1.7万个僵尸账号开设大量直播间，播放色情、暴力、恐怖等违规内容，状况持续超1小时，单场观看量最高达到40万人次。 

人工审核在数以万计的违规账号面前，显得苍白无力。期间，举报信息大量涌入，以至于举报通道一度出现瘫痪，更加重了负担。 

作案者惊人的杀伤力，成为第二天舆论场的焦点之一。有人分析攻击者是如何攻破了快手的“防火墙”；有人同情地表示“快手程序员的年终奖如奶油一般化开”。 

一个不知道是不是惊喜的意外，是事发次日，在欲望与好奇心驱使下，快手冲上了App Store下载榜第二名，有报道称，超过400万用户因此下载或“回归”快手。 

另一个舆情焦点，是一则谣言。有报道称，这些直播中隐藏着病毒链接，许多用户点入后，微信账号即被盗取，不法分子随即向账号好友发送借款请求，实施诈骗。相关信息也在多个微信群传播。 

微信随后紧急辟谣，称上述信息不属实，截至目前没有发现相关问题和收到类似反馈。 

风波和快手的股价一样，经历了暴跌又逐渐缓和：快手港股开盘暴跌近6%，随后止跌回升，截至下午收盘，下跌3.52%，单日市值蒸发95亿港元。

对于这次作案者的动机，上海金融与法律研究院研究员刘远举列举了多种猜测：如事先做空股票，从资本市场牟利；如黑客曾向快手索要过保护费，但未引起重视，前者开始“报复”；如为了获取用户行为数据和个人信息，后续用于精准诈骗；再如黑客组织纯粹为了扬名立万、打响名声，等等。 

真实的动机有待有关部门进一步调查，但有一点可以肯定——“无利不起晚”。更重要的是，像快手这样体量的公司，居然能被网络黑灰产奇袭成功，这本身就已经说明了问题。

二

如虎添翼的惯犯 

从定义上讲，“黑产”是指直接触犯国家法律法规的产业；“灰产”是指游走在法律法规不明确的边缘地带、打“擦边球”的产业。 

北京大成律师事务所杭州办公室律师王征驰表示，从最终指向看，典型的网络黑灰产包括三类：一是色情服务，二是赌博，三是金融，主要涉及理财诈骗和非法借贷。 

围绕它们，网络黑灰产形成了完整的上下游灰色产业链：上游提供账号批量注册、假冒身份工具，中游供应诈骗话术、引流技术、钓鱼网站，下游提供灰色支付渠道、洗钱、外汇买卖等。

网络黑灰产近年发展很快。研究机构威胁猎人发布的报告显示，今年上半年，国内日均活跃风险IP数量达到1382万个，较去年下半年增长15.02%。 

而在这次“奇袭快手”事件中，有专业人士认为，这个老惯犯如今有了新帮手——AI。以此，他们凭经验还原了“作案手法”。 

首先，黑灰产利用脚本批量注册或劫持了僵尸账号，并且伪造身份绕过了实名认证与人脸核验； 

接着，利用直播推流接口底层漏洞或数据劫持，绕开前置审核，同时借助AI换脸、局部遮挡、篡改码率等技术，骗过了AI内容审核系统； 

随后，借助快手直播“先发后审”的机制，趁被识破前的空档，用僵尸号“加热”直播（类似刷量），瞬间营造出很高的活跃度，欺瞒算法后，再反向推动违规直播进入更大的流量池，可谓借力打力，星星之火瞬间燎原。 

当这样的操作达到一定的数量，形成围攻之势，就此彻底突破了快手的防火墙，此时，人工审核根本不足以应对汹涌而来的违规行为，除了彻底关闭直播功能，别无他法。 

值得警惕的是，攻击者并没有像传统的黑客入侵那样直接攻击平台的“硬防火墙”，如利用系统漏洞、数据泄露或入侵平台核心系统，而是在合规的范畴内，利用漏洞和“号海战术”，以量变触发质变。

三

不止快手 

并不是只有快手防不住。 

2025年上半年，利用AI技术实施的电信诈骗案件平均涉案金额比传统诈骗高出3—5倍。某省政务平台在2025年4月曾检测到大规模AI伪造人脸攻击，攻击者使用生成的人脸图像尝试绕过实名认证，单日攻击量最高达2.3万次。 

全球范围内，各大社交与直播平台如YouTube、TikTok、Facebook等都曾遭遇过批量账号恶意操纵违规内容攻击。 

今年6月，外媒报道有恶意机器人网络利用Facebook的AI审核系统漏洞，大规模举报合法群组，导致这些群被封禁。仅6月24日一天之内，就有上千个群被封禁，包括一些运营多年、拥有几十万成员的大型社区。

这一过程中，这些机器人在几分钟内高频提交上百次举报，让AI审核系统不堪重负。出于谨慎，系统选择自动封禁对应群组。 

数字经济学者刘兴亮告诉小巴，防控网络黑灰产如今面临诸多难点：传统的人工审核+规则治理，难以应对规模化攻击；高级手段能够绕过实名认证；AI生成内容让识别更复杂，而严格的审核和平台推荐效率之间又存在矛盾；恶意链接、外部诱导、社交账号关联等跨平台复合攻击，也提升了防守难度。

从法律角度，王征驰还提到，网络黑灰产难以追责。 

一方面，网络黑灰产大多是跨境犯罪，只有少数有司法协助的国家，才会允许入境抓捕，而且受制于法律体系不同，取证、移送也面临一系列困难。

另一方面，网络空间的隐蔽性，让信息和钱款溯源困难。虽然注册网络账号已经实名制管理，但个人信息非法买卖长期存在，增加了身份核验和追责的难度。

四

为什么是快手？ 

业内判断，这次入侵属于T0级（最高级）的安全事故。对快手而言，其危害是实质性的，包括但不限于品牌声誉损害、用户流失、运营与安全成本提升、潜在的法律责任与监管处罚风险。

那么，为什么是快手？ 

在刘兴亮看来，这类攻击者在选择目标时，通常会考虑以下几个因素： 

▶▷一是庞大的活跃用户数与传播能力。快手拥有亿级用户，一旦违规内容突破防线，影响极大。 

▶▷二是直播推流场景对实时性要求高，对延迟敏感，平台在安全与效率之间可能更难权衡。

▶▷三是平台可能存在系统漏洞或防护短板，让攻击者能够利用协议级漏洞绕过部分防护机制。  

刘远举则提到另一点：快手的用户群体，和网络黑灰产的目标群体有一定程度重合。

面对攻击，平台也有其无奈之处。

目前，平台主要依赖人工审核与传统防御，而网络攻击方式多样、动态变化，规则封堵常滞后于攻击者技术更新。 

从成本角度看，平台防御需投入大量资源，难以全面覆盖。 

刘远举提醒平台，需加快升级技术防御措施，构建用AI对抗AI的防御体系，利用深度学习识别异常账号和内容，实施“人机识别+实名验证+行为分析”三重防护。此外，优化内容审核团队配置，保证24小时全覆盖，建立跨部门安全联动机制，确保危机快速处置。 

这场危机也为每一个互联网用户敲响了警钟。对此，刘兴亮建议： 

◎ 第一，增强安全意识，遇到大量异常或违规直播内容要迅速举报。

◎ 第二，拒绝点击不明链接：尤其在直播间外链或诱导信息中。

◎ 第三，加强账号安全保护，开启二步验证等。

◎ 第四，理解平台应急响应机制：某些时刻功能暂停是安全策略的一部分。 

最后，值得深思的是：这并非一场供人猎奇的围观事故，也不该被简化为“平台翻车”。它更像一次提醒：网络黑灰产在技术加持下，正反复试探平台与社会的底线。只有正视这种系统性风险，而非娱乐化和指责，我们才可能避免“下一个快手”的出现。