國(guó)內(nèi)頭部直播平臺(tái)快手遭遇了黑產(chǎn)攻擊，揭示了其在應(yīng)急機(jī)制上的不足。12月22日22:00左右，快手應(yīng)用的直播功能遭到網(wǎng)絡(luò)攻擊，公司迅速啟動(dòng)應(yīng)急預(yù)案，全力處置與系統(tǒng)修復(fù)后，直播功能逐步恢復(fù)正常服務(wù)。其他服務(wù)未受影響。公司強(qiáng)烈譴責(zé)這種違法犯罪行為，并已向公安機(jī)關(guān)報(bào)警并向相關(guān)部門報(bào)告，將采取適當(dāng)法律措施保障公司及其股東的權(quán)益。

12月23日開盤，快手股價(jià)下跌超過3%，收盤時(shí)報(bào)64.35港元，跌幅達(dá)3.52%。當(dāng)天中午，快手APP躍升至蘋果應(yīng)用商店免費(fèi)APP排行榜第二位，事件引發(fā)廣泛關(guān)注。多位安全專家指出，這起事件反映了平臺(tái)存在明顯安全漏洞，并且能感受到來自攻擊者的“惡意”。

12月22日晚上，有網(wǎng)友反映快手直播間出現(xiàn)大量色情內(nèi)容，隨后許多直播間被封禁，異常狀態(tài)持續(xù)超過一小時(shí)。到23日凌晨，快手APP的“直播”板塊已經(jīng)沒有內(nèi)容。據(jù)360方面表示，這些違規(guī)直播間呈現(xiàn)明顯的自動(dòng)化特征：大量新注冊(cè)賬號(hào)在同一時(shí)段集體開播，播放預(yù)制的非法視頻。即使平臺(tái)不斷封禁單一賬號(hào)，違規(guī)內(nèi)容仍如潮水般增長(zhǎng)。23日0時(shí)前后，快手采取緊急止損措施，無差別關(guān)停直播頻道。

網(wǎng)絡(luò)安全專業(yè)人士曲子龍指出，從目前的信息來看，很多人反饋出現(xiàn)了大量的新號(hào)開播，可能是黑灰產(chǎn)集中利用開播所導(dǎo)致的群體事件。360數(shù)字安全集團(tuán)專家分析認(rèn)為，攻擊者可能利用了直播推流接口的底層漏洞，繞過了平臺(tái)的實(shí)名認(rèn)證與內(nèi)容審核鏈路，暴露出快手在應(yīng)對(duì)極端安全攻擊時(shí)的風(fēng)控防御體系存在明顯漏洞。

曲子龍解釋說，在正常情況下，各個(gè)平臺(tái)都會(huì)有AI加人工的視頻內(nèi)容審核服務(wù)。然而，一旦需要鑒定的視頻集中式爆發(fā)，原本準(zhǔn)備的視頻智能審核并發(fā)不夠大，就像遭遇DDoS一樣，大量需要審核的內(nèi)容同一時(shí)間涌入智能AI審核任務(wù)，造成審核能力無法實(shí)時(shí)完成，出現(xiàn)隊(duì)列和擁堵。他表示，如果是灰黑產(chǎn)的群控攻擊，那么堪稱“黑灰產(chǎn)史無前例的教科書攻擊”，因?yàn)橐酝诨耶a(chǎn)只是集中注冊(cè)賬戶，關(guān)閉后再繼續(xù)發(fā)，從未有過如此大規(guī)模的惡意攻擊行為。

奇安信安全專家汪列軍表示，此次攻擊之所以能造成大規(guī)模破壞，核心原因在于黑灰產(chǎn)已全面進(jìn)入“自動(dòng)化攻擊”時(shí)代，而平臺(tái)仍依賴傳統(tǒng)人工防御模式。黑客借助自動(dòng)化工具批量注冊(cè)、操控僵尸號(hào)，實(shí)現(xiàn)違規(guī)內(nèi)容的秒級(jí)發(fā)布與擴(kuò)散，這種規(guī)?；敉耆鋈斯徍说膽?yīng)對(duì)極限。

網(wǎng)絡(luò)安全領(lǐng)域從業(yè)人士強(qiáng)調(diào)，規(guī)模如此大的數(shù)據(jù)泄露事件，起因往往非?！皹闼亍?，并且是“從內(nèi)到外”地發(fā)展，正面攻破已經(jīng)不太可能發(fā)生。無論是真的有“內(nèi)鬼”存在還是其他原因，對(duì)于大平臺(tái)來說，沒有相應(yīng)的應(yīng)急措施才是最嚴(yán)重的問題。業(yè)內(nèi)分析指出，在平臺(tái)高速擴(kuò)張過程中，安全投入與業(yè)務(wù)規(guī)模往往難以匹配。面對(duì)失控局面，平臺(tái)未能啟動(dòng)分級(jí)熔斷，只能被迫采取“無差別關(guān)停直播頻道”，體現(xiàn)出其應(yīng)急響應(yīng)機(jī)制急需改進(jìn)。

汪列軍建議，企業(yè)網(wǎng)絡(luò)安全升級(jí)不能僅聚焦外部攻擊防御，內(nèi)部漏洞引發(fā)的風(fēng)險(xiǎn)同樣不容忽視。近年來，“內(nèi)鬼”泄露數(shù)據(jù)、內(nèi)部賬號(hào)被盜濫用、越權(quán)操作等事件頻發(fā)，部分網(wǎng)絡(luò)攻擊甚至通過收買內(nèi)部人員、利用權(quán)限漏洞突破防線，其破壞力不亞于外部突襲。專家提醒，在數(shù)字化轉(zhuǎn)型過程中，企業(yè)需樹立“內(nèi)外同防”理念，將內(nèi)部防線建設(shè)納入整體安全體系，尤其要重視“防內(nèi)鬼”與權(quán)限管控。

曲子龍認(rèn)為，最好的解決方案是在直播前再次檢驗(yàn)一次人臉識(shí)別，核對(duì)實(shí)名信息與直播本人是否吻合。對(duì)于批量攻擊占滿審核資源的問題，解決方法包括加強(qiáng)算力和增設(shè)直播門檻。針對(duì)此次事件暴露的行業(yè)痛點(diǎn)，汪列軍認(rèn)為，當(dāng)前網(wǎng)絡(luò)安全已進(jìn)入不對(duì)稱戰(zhàn)爭(zhēng)時(shí)代，高級(jí)威脅的隱蔽性與攻擊的自動(dòng)化特征，讓傳統(tǒng)人工防御難以為繼，必須用AI賦能實(shí)現(xiàn)安全防護(hù)自動(dòng)化，以對(duì)抗攻擊自動(dòng)化。尤其是在黑灰產(chǎn)手段持續(xù)升級(jí)的背景下，企業(yè)亟需構(gòu)建超越人類分析極限的AI“大腦”，通過智能感知、自動(dòng)研判、極速響應(yīng)的全流程自動(dòng)化體系，破解攻防失衡的困局。