快手深夜“涉黄”直播：200多个安全专家扛了半小时，还是没守住

Q：一个8亿日活的平台，为啥露骨直播能播到40万人在线？

A：因为黑产用1.7万个僵尸号冲垮了防线，而235个安全专家熬了半小时，也没拦住——更糟的是，这波攻击里还藏着盗号诈骗的陷阱。

12月22日晚上10点，北京程序员小张刚点开快手，屏幕里的画面就让他猛地把手机扣在桌上——露骨的表演占满整个屏幕，评论区里有人刷“举报没用”，还有人在发“下一个直播间的链接”。

同一秒，一个叫“快手白帽俱乐部”的群里，键盘声已经响成一片：安全研究员们在后台盯着告警系统，红色的“违规内容激增”提示跳个不停，有人一边敲代码堵漏洞，一边在群里说“流量太大，防火墙顶不住”。

但黑产的速度比他们更快。

有人在群里发了张后台截图：10点03分，平台检测到“异常开播请求”，数量是平时的200倍；10点07分，违规直播间突破500个，举报量超过12万次；10点15分，有个直播间的在线人数冲到40万，系统显示“举报提交失败”——安全研究员们试了临时封禁IP、关闭推流接口、紧急扩容审核队列，可黑产的脚本是“秒级发布”，封掉一个账号，立刻有三个新号补上，连设备信息都是伪造的，根本抓不到源头。

更让安全团队头皮发麻的是，黑产不止在播违规内容：有用户发现，直播间的评论区里藏着“网站链接”，标注着“看完整内容点这里”——这正是黑产埋的第二个陷阱。

直到晚上10点28分，群里突然安静下来，有人敲了一行字：“今晚，我感觉到很遗憾，在座235位顶级安全研究员都没办法守护快手安全。”

这句话发出来的时候，他的电脑屏幕上还停着“违规内容拦截率0.7%”的提示——半小时里，235个人熬红了眼，试了所有应急方案，还是没拦住黑产把涉黄内容、盗号链接一起推给数百万用户。

黑产是怎么“碾过”防线，还顺便挖了盗号的坑？

这不是“黑客偷偷摸进来”，是黑产开着“推土机”撞破了门，还在门口埋了雷。

第一波：用“饱和攻击”冲垮审核

根据安全圈的复盘，黑产的操作是“流水线作业”：

• 第一步：搞账号。从境外接码平台买70多万个手机号，用“子母机”工具批量注册——母设备完成实名认证，子设备复制Cookie和设备信息，AI生成的人脸视频直接绕开活体检测，单台设备一天能注册上百个号；
• 第二步：踩点攻击。选在晚上10点动手，正好是平台夜间审核的“真空期”——算法审核被流量信号带偏，把违规内容当成“热门”推给更多用户，人工审核员就算全员上线，也追不上“封一个、补三个”的速度；
• 第三步：饱和轰炸。1.7万个僵尸号同时开播，播的都是预制好的涉黄内容，每个直播间的标题都带“性感”“福利”这类关键词，系统的关键词拦截库早被黑产用谐音字绕开了。 ### 第二波：在直播里藏盗号链接 这波攻击的“坏水”不止于传播低俗内容。

当晚就有群聊记录传开：用户“念寓明”在群里说，自己已经遇到了“盗号借钱”的诈骗——骗子盗用他朋友的微信，冒充朋友找他借钱，他只能把这些账号拉黑；同时他紧急预警：“快手放片的直播里的网站一定不要去搜！不然你的微信会被盗掉！一定不要去搜，否则后果自负！”

显然，黑产把“传播违规内容”和“盗号诈骗”绑成了完整链条：先用露骨内容吸引用户点进直播间，再引导用户访问藏着木马的钓鱼网站，偷取微信账号后，就冒充账号主人向好友借钱——等于把用户从“看了不该看的内容”，直接拖进“财产可能受损”的坑。

半小时后，平台“把直播频道关了”

晚上10点30分，快手的直播频道突然全黑，屏幕上显示“功能维护中”——这是“无差别关停”，也是没办法的办法。

但这半小时的“失守”，已经让内容和风险一起扩散：有家长说，自己上小学的孩子刷快手时，“突然跳出个奇怪的直播间，我赶紧抢过手机，手都在抖”；有用户截了图，直播间的在线人数从几千涨到40万，评论区里还有人在发“求资源链接”；更有人后怕：“我差点点了那个链接，要是微信被盗，朋友都得被我‘借’一遍钱。”

更让人生气的是，有黑产从业者在论坛里炫耀：“这次用的脚本是最新版，快手的防御就是纸糊的，3000块买的脚本，一晚上就赚回来了——不仅能引流，还能盗号卖钱。”

更魔幻的：出事了，下载量反而涨了？

23日早上，有人在社交平台发了张截图：快手在App Store的下载量冲到了免费榜第二，后台显示“404万用户近期回归”。

这不是“越骂越火”，是“吃瓜流量”——有人好奇“到底有多离谱”，有人想“看看平台怎么收场”，还有人是“帮朋友看一眼有没有踩坑”。但对快手来说，这更像个黑色幽默：安全防线被撕开，用户信任在掉，下载量的上涨更像“看热闹的人挤破了门”，完全不是什么好信号。

这事儿到底是“黑产的锅”，还是平台的问题？

快手说“是黑产攻击”，但网友的吐槽直接戳破了遮羞布：

“235个安全专家都守不住，合着平时的‘安全防护’都是PPT？”

“夜间审核是摆设？晚上10点是小孩刷手机的高峰，平台就不管？”

“实名认证连AI生成的人脸都拦不住，这认证有啥用？”

“不仅让用户看违规内容，还让用户踩盗号的坑——平台到底有没有把用户安全当回事？”

其实平台的短板早就摆在明面上：

1. 设备识别太弱：黑产用工具篡改IMEI码、MAC地址，平台根本分不清“这是同一伙人”；
2. 活体检测是摆设：AI生成的人脸视频能轻松绕开，实名认证等于没做；
3. 内容审核漏了“链接”：直播间里的钓鱼链接没被拦截，等于给黑产开了“诈骗通道”；
4. 应急方案太慢：从发现异常到关停直播，用了27分钟——黑产的内容和风险早就扩散完了。

网友的吐槽，比事件本身更扎心

“235个安全专家=半小时没拦住黑产+没挡住盗号链接，我手机里的反诈APP都比这靠谱”

“下载量涨了？合着大家都是去看‘限制级内容’的？这流量要了有啥用，全是看热闹的”

“建议平台把‘记录美好生活’改成‘记录黑产作案现场’，顺便附赠盗号套餐是吧” “我妈问我‘快手咋了’，我都不敢说‘你别点开直播’，怕她以为我在藏啥——更怕她点到那个链接”

“黑产都把‘盗号+诈骗’做成产业链了，平台还在说‘我们在修复’，修复个寂寞啊”

这事儿，真的没完

23日凌晨，快手报警了，海淀警方已经启动调查。但用户要的不是“抓几个人”，是“以后别再让我刷到这个，别再让我踩盗号的坑”。

比如，能不能给未成年人账号开“夜间直播屏蔽”？能不能把设备指纹、区块链认证这些技术用上，拦住批量注册的僵尸号？能不能先把“直播间链接检测”加上，别让钓鱼网站直接蹦到用户眼前？

毕竟对一个8亿日活的平台来说，“安全”不是“出了事再补”，是“别让用户半夜刷到不该看的东西，别让用户点个链接就丢了账号”——这事儿，235个安全专家熬半小时没做到，靠“事后的下载量”更做不到。