IT之家 12 月 24 日消息，快手直播功能于 2025 年 12 月 22 日 22:00 左右遭到網(wǎng)絡(luò)攻擊，多個直播間出現(xiàn)違法內(nèi)容。火絨安全今日發(fā)文，對此次事件進行了分析及講解。

火絨表示，該短視頻平臺遭遇了一次具有里程碑意義的網(wǎng)絡(luò)安全挑戰(zhàn)。攻擊者利用自動化手段，對平臺的直播審核與管控系統(tǒng)進行了針對性干擾，導致部分違規(guī)內(nèi)容在短時間內(nèi)突破了常規(guī)審核。IT之家匯總?cè)缦拢?/p>

• 前序探測期（12 月 22 日 18:00-20:00）：平臺出現(xiàn)零星違規(guī)內(nèi)容，但在正常風控范圍內(nèi)被迅速清理。

• 攻擊爆發(fā)期（12 月 22 日 22:00）：流量晚高峰，大量新注冊及被劫持賬號幾乎同時開播，播放預制違規(guī)視頻。

• 系統(tǒng)僵持期（12 月 22 日 22:00-23:00）：違規(guī)直播間持續(xù)存在，用戶舉報反饋失效，后臺封禁指令執(zhí)行出現(xiàn)顯著滯后。

• 應急阻斷期（12 月 22 日 23:00-23 日 00:30）：直播入口顯示“服務器繁忙”，隨后整個直播頻道內(nèi)容清空。

• 服務恢復期（12 月 23 日 08:00）：違規(guī)內(nèi)容完成清洗，直播功能逐步恢復。

在此次攻擊的爆發(fā)期，黑產(chǎn)利用“群控”與自動化腳本實現(xiàn)毫秒級并發(fā)，造成“業(yè)務邏輯層擁塞”。攻擊者特意選擇人力審核交接班且用戶流量最大的薄弱時段，意在最大化攻擊的社會影響與系統(tǒng)壓力。

根據(jù)火絨技術(shù)復盤，其攻擊過程呈現(xiàn)出高度組織化和智能化的特點。攻擊并非單純追求流量沖擊，而是針對平臺業(yè)務邏輯中的關(guān)鍵環(huán)節(jié) ——“內(nèi)容識別后的封禁執(zhí)行接口”，發(fā)起了高頻請求，意在耗盡系統(tǒng)后端處理資源。這使得系統(tǒng)在能夠快速識別違規(guī)內(nèi)容的同時，卻無法及時執(zhí)行封禁操作，陷入了“能發(fā)現(xiàn)、難處置”的狀態(tài)。為控制事態(tài)，平臺一度采取了暫時關(guān)閉直播入口的應急措施。

傳統(tǒng)的 DDoS，旨在耗盡帶寬；或者針對應用層耗盡 HTTP 連接數(shù)。然而，“12?22”事件展現(xiàn)出了一種更為隱蔽且高效的形態(tài)，行業(yè)內(nèi)將其定義為業(yè)務邏輯 DDoS 。

攻擊者通過對“封禁執(zhí)行接口”實施高頻洪泛攻擊，耗盡了后端計算資源。這導致系統(tǒng)陷入雖能秒級識別違規(guī)，但無力落實封禁的邏輯癱瘓，如同報警系統(tǒng)靈敏作響，但執(zhí)法車輛卻被惡意擁堵徹底困死。

火絨分析指出，此次攻擊反映出黑產(chǎn)工具正在向更高級的形態(tài)演進。攻擊工具不僅能夠模擬人類操作行為以繞過基礎(chǔ)防御規(guī)則，還表現(xiàn)出一定的環(huán)境感知與自主決策能力，同時展現(xiàn)出多智能體協(xié)作能力，例如在遇到阻力時自動切換策略。這種基于 AI 智能體的攻擊方式，大大提升了攻擊效率并增加了防御難度。

面對此類新型威脅，單純依靠傳統(tǒng)的規(guī)則過濾已顯不足。火絨認為，防御思路需要升級，未來可能需要利用 AI 技術(shù)來對抗 AI 攻擊。例如，通過生成對抗性樣本干擾攻擊者的識別模型，或部署能夠動態(tài)生成交互陷阱的“生成式蜜罐”，以大幅提高攻擊者的執(zhí)行成本和經(jīng)濟負擔。

此外，無論是企業(yè)還是個人用戶，筑牢終端設(shè)備的安全防線，防止設(shè)備被惡意控制成為攻擊源頭，仍是網(wǎng)絡(luò)安全的基礎(chǔ)環(huán)節(jié)。

本次事件雖發(fā)生在服務端，但暴露出兩個與端側(cè)緊密相關(guān)的問題：

一是攻擊流量源于失控的端側(cè)（無論是模擬的還是被劫持的）；

二是對于 MCN 機構(gòu)和專業(yè)主播而言，其推流終端本身就是高價值的攻擊目標。

因此，火絨安全專家認為，在面對類似“12?22”這般復雜的網(wǎng)絡(luò)安全事件時，端側(cè)安全不應僅僅被視為保護個人電腦的工具，它應該是整個互聯(lián)網(wǎng)安全生態(tài)的基石。

在該事件中，如果我們將視角從受害者（服務器）移向攻擊者（發(fā)起推流請求的終端），會發(fā)現(xiàn)防御的最佳時機其實是在請求發(fā)出之前。對于企業(yè)而言，如果攻擊流量來自于被控制的內(nèi)部辦公電腦或被植入木馬的業(yè)務終端，那么部署強有力的端側(cè)防護就是切斷攻擊的“熔斷器”；對于個人用戶來說，反病毒引擎的普及則是防止設(shè)備淪為黑產(chǎn)幫兇的根本。

對此，火絨安全建議廣大用戶，針對性筑牢端側(cè)安全防線：企業(yè)需部署具備場景化防護能力的終端安全方案，通過 IP 協(xié)議精準管控、程序執(zhí)行白名單、外設(shè)接入限制等功能，鎖定終端業(yè)務邊界；個人用戶也應安裝正規(guī)安全軟件，及時更新系統(tǒng)與防護規(guī)則，借助彈窗攔截、網(wǎng)頁威脅防護等功能，規(guī)避惡意攻擊風險。

相關(guān)閱讀：

• 《快手：直播功能遭到網(wǎng)絡(luò)攻擊，已第一時間啟動應急預案》

• 《微信員工回應快手直播事件出現(xiàn)微信被盜傳聞：昨晚到現(xiàn)在，沒有相關(guān)的賬號被盜案例》

• 《快手：遭到灰黑產(chǎn)攻擊，正在修復處理中，已報警》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。