快手去香港上市敲钟的当天,CEO程一笑为股票精心挑了个代码“1024”。
1024这个数字在科技圈有特殊意义,代表2的10次方,是程序员文化里的一个梗,程一笑用来致敬科技与生产力。
略显讽刺的是,最近黑产用一场持续两个多小时的饱和式攻击,让快手的科技宣言显得不堪一击。
12月22日22时,快手的平静被瞬间击穿。约1.7万个早已潜伏的“僵尸账号”同时苏醒、开播,像一场精心策划的蝗虫过境,直播间里塞满了色情、暴力等违规内容。有的直播间观看量直逼十万,平台俨然成了黑产的免费秀场。
这并非一次小打小闹。攻击持续两个多小时后,平台日常运营已近乎瘫痪——用户无法正常观看,主播被迫下播,本应作为年末重头戏的时代少年团等大型直播,也只能取消。
(企业公告,图源快手官网)
直至当日凌晨,快手才将事件定性为“黑灰产攻击”。而让外界意外的是,快手一度采取了强制关闭所有直播的“休克疗法”。漏洞修复完成时,已是次日上午七点,漫长的十小时里,平台的技术防线形同虚设。
黑产盯上互联网平台,早不是什么新鲜事。在中国互联网江湖里,这个庞大阴影一直笼罩在所有高日活、高交易量的平台头上。
从电商、社交到短视频,主流平台无一不被黑产公司“重点关照”过。在短视频领域,也有比快手日活更高的“大鱼”,黑产难道不馋?答案很可能是,不是不攻击,是攻击了,但没打穿。
这些年,黑产的技术是在迭代,攻击手段也更规模化、更隐蔽。区别在于,有的平台构建了足够坚固的城墙,有的则是“城门洞开”。
快手不幸成为了后者,是近年来少有的因被黑产正面攻击至功能瘫痪、进而引爆大面积负面舆情的公司。
“黑产攻击”成了一面镜子,照出了快手平台防御体系的真实成色。
01
快手的“防火墙”,在黑产面前像层窗户纸
这次持续两个多小时的攻击,算是把快手审核系统的底裤扒了个干净。
如今主流平台的审核,玩的都是“机审为主、人工打补丁”的模式。但这次,快手的整个系统像是当场“死机”——事前没防住,事中没拦住,事后收拾烂摊子都手忙脚乱。
现在的机审,早不是简单的关键词过滤。这活技术含量越来越高,本质是场“AI对AI”的竞赛。
这些年,黑产“产业升级”了:从小作坊走向规模化,从手工“薅羊毛”升级到全自动脚本,分工细化,产业链闭环。如今,连AI都成了他们的工具。
所以,平台就得用更聪明的AI去识别、拦截。
快手、抖音、B站这些平台,各自都养了自己的风控AI模型,名字起得都挺唬人——快手的“明镜”,抖音的“识血”模型,听着像武侠片里的神器。核心任务就一个:自动抓违规内容。
但直播,是内容审核里的“地狱难度”。实时生成、实时播放,机审模型必须在秒级内做出判断:这画面能不能留?
这次的事证明,快手的AI在低俗直播识别这块,可能还处在“新手村”阶段。平台防御,多半还压在人工巡检那根老旧的弦上。
黑产的攻击路径,现在大概能拼凑出来:先批量搞来1.7万个僵尸号,绕过推流接口——这就相当于躲开了门口的安检。直播一开,立刻指挥僵尸大军涌进去点赞加热,把数据做得漂漂亮亮,伪装成热门内容。
(图源:快手官网)
快手自己曾提到过,他们建立了“事前、事中、事后”三道防线。结果这次,事前管控,破了,事中监控,也没拦住。
问题出在哪儿?这次黑产攻击选在夜间流量高峰,直播间数量本就暴增,黑产再一股脑涌进来,瞬间就冲垮了机审的处理上限。
机审一崩,压力全部甩给人工。但面对成千上万同时冒出来的违规直播间,人工审核那点人手,简直是杯水车薪。有用户反馈,当时连举报按钮都一度失效。
快手公众号曾披露过一个数据:2025年以来,其日均关停1500多个低俗直播间。这数字平时看还行,可面对几小时内冒出来的上万个问题直播,处理能力直接见底。
AI模型失效,还有一个可能:快手的“样本库”不够用了。黑产的违规内容也在迭代变种,如果算法没见过这些新变体,它就认不出来。
这才出现了“封一个,冒两个”的尴尬局面——这边刚封禁,那边新直播间又顶上来,根本封不完。
简单点说,这次就是一场典型的“攻防碾压”。黑产用了大规模、自动化的现代打法,快手却还靠着人工为主、AI辅助的传统防线硬扛。根本没扛住。
这场溃败,让人不得不对快手这些年的技术投入画个问号。
一方面,太重人工。不止这次,之前面对未成年保护等问题,快手的解决方案也是“加大人工巡检力度”。这思路像是一直依赖传统方式补漏洞,却没从根本上加固城墙。
另一方面,AI迭代慢了。尤其在低俗直播这个老大难问题上,平台的识别模型似乎没跟上黑产进化的速度。防御没筑高,攻击却升级了。
一位熟悉平台安全的业内人士向奇点湃表示:“业务增长和风险防控,永远是跷跷板的两头。但风控永远是那条安全底线。动态评估风险,该加固时就得投入资源——这永远是管理者必修的平衡术。”
只是这一次,快手的平衡术,显然没玩好。
02
“救火”未遂,快手被迫清空直播频道
攻击来了,平台的第一要务永远是止损。
黑产的攻击是自动化、批量化、秒级扩散的。平台的理想剧本,本应是“快速查漏补缺、最小化影响”。
一开始,快手也是这样做的:没选择最直接的“一刀切”,而是选择了更传统的“打地鼠”模式:封账号,限制入口,抬高权限。
这心思不难猜:它还想保住平台上其他正常直播的生意。
根据媒体报道,晚上11点半左右,经过约一小时处置,快手“已基本清除违规内容”,涉案的1.7万个账号被冻结。
看起来,火似乎被扑灭了。但紧接着的一个操作,让这个“胜利”显得有点微妙。
凌晨0点10分,快手把直播频道的内容清空了。这相当于不是扑灭明火,而是直接把整栋楼的电闸拉了。
为什么?一个合理的推测是:攻击根本没停。新违规内容的产生和传播速度,超过了快手的清除速度。封号封不过来,删内容删不完。
从晚上10点问题爆发,到凌晨0点10分拉闸,两个多小时的窗口期里,黑产完成了渗透、刷屏、扩散的全流程。
快手不得不按下那个最不想按的按钮:清空频道,彻底断电——启动的最高级别应急预案。
这一夜,对快手的高管和安全团队来说,注定无眠。直到次日清晨7点,直播板块才终于全面恢复正常。
(图源:快手官网)
一场长达近十小时的瘫痪,带来的损失是实实在在的。
直播是快手电商的命脉,是公司的现金牛业务。风控体系失效,直接导致核心业务停摆,商家和主播的收入流中断。这不仅是技术事故,更是商业事故。
更棘手的是舆论次生灾害。
两个小时的“窗口期”,足够让那些违规内容完成从平台内到平台外的“病毒式传播”。“快手变快播”之类的梗在社交网络疯传,负面舆情彻底出圈。考虑到快手用户中有大量青少年,这场风波还直接点燃了公众对平台责任的拷问。
(图源:小红书APP)
而在后续的舆情处理上,快手的反应也堪称“典范级”的避重就轻。
第一份声明,强调“遭黑灰产攻击”、“已报警”,姿态上更像一个“受害者”。第二份声明,告知功能恢复,再次强调“已报警”,并表示要“保障股东权益”。
从头到尾,市场对其风控体系的质疑、用户对账号安全的担忧,只字未提。
危机公关里,速度与真诚缺一不可。快手这次,两边似乎都慢了一拍。
这种应对,很容易在品牌声誉和商业信任上造成双重“骨折”。
资本市场最先投票。当日港股开盘,快手股价应声下跌,最终收盘跌去3.52%,市值一天蒸发超百亿港元。
黑产攻击的是系统,但市场惩罚的,是系统背后平台暴露的技术脆弱性。
这代价,或许比升级几个AI模型,要贵得多了。
03
快手的“病”,不是一天得的
黑产对短视频和直播平台的“偏爱”,就像猫盯上了鱼缸。
今年11月,B站直播区被一批刚注册的0级、1级新号“刷屏”,满眼都是违规二维码和不良引流信息,持续了好几个小时。
去年6月,TikTok上包括希尔顿继承人、美国有线电视新闻网CNN在内的一批名人企业号被黑,CNN的账号甚至被迫关停了好几天。
为什么黑产总盯着它们?道理很简单:这些平台坐拥海量日活和账号资产,从打赏、带货到引流,变现链路清晰。
有利益的地方,就有“秃鹫”盘旋。
黑产的“成长史”,基本就是一部中国互联网的“撒钱史”。2012到2016年那会儿,团购、外卖、共享单车轮番烧钱大战,黑产“羊毛党”们赚得盆满钵满。从此,流量往哪涌,黑产就往哪迁徙。
直播行业这块大蛋糕,自然也养活了一条灰色的“产业链”。
某种程度上,像快手这样的平台,对某些黑产其实是一种“睁一只眼闭一只眼”的默许。
最典型的例子就是直播刷量。从刷粉丝、刷人气到刷销量,背后是一整条造假需求催生的产业链。平台为了GMV数据好看,往往也睁一只眼闭一只眼。
去年8月,快手头部主播“太原老葛”被商家指控刷单诈骗,收了900万佣金,近2000万销售额是刷出来的。今年3月,其团队成员被刑拘;最近,市场监管部门开出了560万元的罚单。
这只是冰山一角。
(图源:快手官网)
跳出直播板块看,快手的整体生态,其实早就亮起了红灯。
今年9月,网信办约谈快手,批评其热搜榜“泛娱乐化”,明星八卦扎堆。去年11月,又因为违法信息处置慢、青少年模式形同虚设被警方警告。此外,影视侵权、假货问题也没断过,去年光赔给优酷、爱奇艺就超过1.2亿。
快手的“病历本”已经写得满满当当。
用户心里有杆秤。快手主要面向下沉市场,基于“老铁文化”的强信任关系,构筑了商业转化率。但硬币的反面,是下沉市场自带的混沌基因。这里情感驱动、决策直接,也更容易成为低俗、擦边和假货的温床。
长期以来,快手似乎沉醉于这片沃野带来的流量盛宴,在治理上却总显得有些“心慈手软”、力不从心。
一场长达十余小时的瘫痪,看似偶然,实则必然。
当一座房子出现裂缝时,往往说明它的地基,早就松了。