一场发生在岁末午夜的“技术突袭”，将国内头部短视频巨头快手推向了舆论风口浪尖。

2025年12月22日晚，国内头部短视频平台快手遭遇大规模黑灰产攻击，多个直播间在短时间内被恶意注入色情、低俗等内容。涉及“僵尸账号”峰值达1.7万个。

有分析表示，此次事件标志着黑产攻击已全面进入“自动化时代”，平台运营安全正面临从单一防御向系统性治理转变的严峻考验。

截至发稿，快手方面已封禁大量违规账号，并向公安机关报案。北京海淀警方证实已介入调查，事件具体原因仍在进一步核查中。

1 时间线：从“压力测试”到1.7万个直播间沦陷

当晚22时左右，不少快手用户发现平台异常。有用户发现，很多直播间在放色情或暴力影片，举报无果，涉事直播间观看人数最高接近10万，评论区充斥着不堪入目的留言。

有快手员工表示，此时正是快手下班的时间。

据了解，攻击并非毫无征兆。21时30分起，已有零散用户反映登录验证码加载异常、视频播放卡顿，少量主播称直播推流不稳。这些细微异常当时多被归为网络波动，未引起广泛警觉。

有媒体报道称，此阶段实为黑灰产的“压力测试”——通过小规模流量试探服务器负载与风控规则，为总攻铺路。

22时整，攻击全面爆发。据监测数据显示，峰值时段约有1.7万个被控“僵尸账号”同步开播，直播间集中推送色情低俗内容，形成刷屏效应。

更严峻的是，此阶段部分用户举报功能短暂失效，显示黑灰产在投放违规内容的同时，还对平台处置通道实施了干扰。

22:30-23:30 ，快手安全团队在攻击爆发后启动最高级应急响应。处置分三层推进：首先临时限制直播入口与新开播流量；随即启动流量清洗，通过AI识别并拦截恶意流量，批量封禁IP与账号；同时动态抬高直播权限阈值。

23:30后，经约一小时处置，平台于23时30分左右基本清除违规内容，涉案1.7万个账号全部冻结。

12月23日凌晨，快手官方通报确认事件为“黑灰产恶意攻击”，并说明有部分用户账号被盗用。目前平台已向公安机关报案，并将联合监管部门开展溯源，同时通知相关用户完成账号核验与安全重置。

消息很快传开，23日上午，快手APP冲上了App Store免费榜第二。

2 防火墙脆弱性与“自动化攻击”时代的到来

有数据专业人士向网易科技分析称，目前看来事故最大的可能是cdn（内容分发网络）被攻破了，审核看到的是正常视频然后到了cdn层被换成了黄暴的。此外，ddos(分布式拒绝服务攻击)也有可能，即同时间大量的信息攻击服务器。

也有网络工程师向网易科技表示，此次事故如何被“进攻”的可能性很多，但大部分网站防火墙的脆弱程度“超出想象”。

360数字安全集团专家分析，这极有可能是一场有组织、有预谋的外部黑客攻击。从技术路径来看，攻击者可能利用了直播推流接口的底层漏洞，绕过了平台的实名认证与内容审核链路。这种大规模、高频次的黑产渗透，暴露出快手在应对极端安全攻击时的风控防御体系存在明显漏洞。

奇安信安全专家汪列军分析指出，此次攻击暴露出黑灰产已全面进入“自动化攻击”时代，而平台仍依赖传统人工防御模式，导致攻防失衡。

专家进一步表示，企业网络安全需兼顾外部攻击和内部风险防范。据悉，内部漏洞如“内鬼”数据泄露、账号盗用等问题频发，其破坏力不亚于外部突袭，因此需树立“内外同防”理念，将零信任架构纳入整体安全体系。

回溯近年，全球范围内网络攻击呈现出高频化与多样化趋势：2021年前后，勒索软件攻击成为主流，Colonial Pipeline、爱尔兰国家卫生系统等事件造成现实世界层面的能源与医疗中断；2024年以来，攻击进一步向云服务、电信基础设施与跨国企业延伸，多起涉及国家级APT组织的长期渗透行动被披露。同年，黑客组织ShinyHunters宣布访问超过2亿用户邮件、搜索/观看历史并勒索；凸显第三方数据处理链风险。

与以往以“数据窃取”为主不同，快手此次事件凸显出内容平台同样成为攻击目标，黑灰产通过自动化工具直接干扰平台运营与内容生态。整体来看，网络安全威胁已从单一技术问题演变为影响企业治理、公共秩序与监管体系的系统性风险，平台防护能力与应急机制正面临新一轮考验。

目前，快手平台直播功能已逐步恢复正常。据网易科技了解，快手员工在此次事件受到的影响呈现为两种极端，安全、风控、审核、市场部等部分员工已经在连夜加班，但某些业务员工受此影响，已经暂停部分已敲定业务。

截至发稿，未有组织或个人宣称对此次攻击负责。快手股价下跌3.75%。