快手直播事故：安全风控挑战与黑灰产应对

作为网络安全与风控领域的资深专家，卢圣龙比大多数人更早得知了快手直播发生的事故。

12月22日晚上10点刚过，他所处的网络安全行业内部群聊开始陆续弹出截图——快手直播中出现了明显违规内容。随后，在快手的应急响应中心群里也传开了同样的消息。卢圣龙和技术专家们猜测是否是某个审核模块“临时挂掉”。但随着截图、录屏越来越多，传播范围迅速扩大，他意识到：这并非一次简单的技术故障。

当晚，快手多个直播间同时出现涉黄、低俗和血腥暴力内容，部分直播间观看人数接近10万。截图与视频如病毒般在社交平台与群组中扩散。在经历限流、封禁后，快手以直接下架直播入口的方式，才控制住事态。直播功能在零点45分左右基本恢复。

整个过程持续了约两小时。快手随后发布公告，称“遭到黑灰产攻击”。

卢圣龙在网络安全领域从业13年，目前是一家网络安全公司安全攻防实验室的负责人，工作之一是作为授权黑客，测试一些单位或公司的网络安全。

他分析道，事故发生后，业内讨论焦点并不在于攻击本身，而在于快手的风控系统为何被击穿，以及在约两小时的异常窗口期里，平台为何没能迅速切换至应急状态。“这个bug的产生可能是由于算法故障，也可能是风控算法在进行灰度更新，或是企业用于故障隔离和快速恢复的内部服务高可用架构有缺陷。从发生到完全处置，快手用了近两小时，这个响应时间偏长，说明他们可能在应急处置流程、故障感知和切换机制上存在短板。”

卢圣龙认为，这场风波像一面镜子，照出了平台业务增长与安全投入之间的长期博弈，以及整个互联网行业在快速发展中留下的安全隐患。

“从事发到完全处置花了两小时，时间太长了”

镜相工作室：你最初是如何得知“快手直播间事故”的？

卢圣龙：我是在网络安全论坛的群聊中看到的。快手自己也建立了一个“应急响应中心”的群，用于与外部安全研究人员沟通漏洞信息。

那天晚上大约10点左右，群里开始有人说快手的审核风控平台好像出问题了。起初大家没往“攻击”上想，都以为是内部故障。

镜相工作室：所以一开始并不认为是黑客攻击？

卢圣龙：对。如果是典型的黑客攻击，通常以拒绝服务（如DDoS攻击）或隐匿入侵控制为主。比如DDoS攻击有可观测的流量差异，平台一般会明确说明攻击类型。那种攻击往往是为了让服务瘫痪，而不是精准绕过风控审核后大量开启非法直播。

因此，业内更倾向于讨论是否是快手的风控系统本身出了问题——可能是算法失效，也可能是风控系统在灰度更新或临时出了bug。而且晚上10点是直播高峰，系统压力大，可能正是脆弱的时候。

镜相工作室：你如何看待快手的处置过程？

卢圣龙：从事发到完全处置花了两个小时，这个时间太长了。这至少说明（快手）内部高可用架构和应急响应机制有问题。

对于快手这样体量的平台，核心风控系统失效理论上应该有秒级监控告警。理想的应急响应链路应该是：风控失效 → 秒级告警 → 业务自动切入人工审核队列或严格限流模式 → 安全与运维团队紧急处置/修复 → 系统恢复。

从结果倒推，长达两个小时的处置时长说明漏洞要么没被发现，要么是告警没响应，要么是应急切换机制没生效。

正常情况下，如果风控系统挂掉，业务侧也可以启动人工审核拦截不合规的直播申请。现在从结果倒推，本应启用的人工审核拦截没有发挥出应有的效果。这还有可能与架构设计有关，当业务的优先级高于安全时，平台为了保障业务连续在风控失效时会默认放行内容。

这件事情影响巨大且传播迅速。但到目前为止真正的原因还没有定论各种分析也不够准确。

具体原因快手应该很快会有更详细的报告。这类涉及公共内容安全的事件有关部门通常会要求企业提交详细报告公众也有权知道到底发生了什么。目前可能还在内部调查和沟通阶段。

“黑灰产不一定是‘盗号’，更可能是‘用号’”

镜相工作室：多家媒体报道称当晚有上万个账号进行违规直播。根据目前的信息可以初步判断这些账号来源吗？

卢圣龙：目前没有证据表明这些账号来自普通用户被盗。更可能的情况是这些账号属于黑灰产手中的“库存号”。如果真是黑灰产攻击风控平台其实不需要大家想象中那种“千万级”的巨量冲击关键在于攻击点要精准。

镜相工作室：也就是说不一定是“盗号”更可能是“用号”？

卢圣龙：对。很多平台存在大量被批量注册或收购的账号它们平时可能处于静默状态一旦风控出现漏洞就会被集中启用。

“安全不应是‘可妥协的成本’”

镜相工作室：从行业角度“快手直播事故”有什么值得反思的地方？

卢圣龙：对企业来说风险是共性的。快手的问题不是孤例它反映出国内企业一个长期存在的问题：安全是成本中心而非利润中心。在财务报表上安全团队的投入是纯支出它不直接带来新增用户、提升活跃或增加营收。因此资源分配、技术立项乃至公司话语权上安全部门常常处于弱势。

镜相工作室：对于企业来说安全部门的理想投入比例应该是怎样的？

卢圣龙：这很难给出一个统一的数字但它应当与业务规模、风险等级匹配。目前国内企业在安全上的IT投入占比相比业务系统投入仍然偏低。安全不是“用了就行”而是需要持续运营、迭代的系统工程。