快手 12・22 黑客攻击事件全流程分析

一、事件概况

2025 年 12 月 22 日 (上周一) 晚，快手直播功能遭遇 "P0 级网络安全事件"(最高级别故障)，攻击者利用高度自动化手段操控约1.7 万个僵尸账号同步开播，在短短 90 分钟内使平台安全体系陷入瘫痪，被迫采取 "无差别关停" 全平台直播的紧急措施。

二、攻击完整时间线

1️⃣ 前期探测阶段 (18:00-22:00)

18:00-20:00: 小规模 "火力侦察"，测试平台审核响应速度和服务器负载能力

21:30: 用户开始报告登录验证码加载异常、视频播放卡顿、推流不稳定等异常，平台未警觉，误判为网络波动

2️⃣ 攻击爆发期 (22:00-22:30)

22:00: 精确卡点 (晚高峰 + 人工审核换班时间)，1.7 万个僵尸账号同步开播，违规内容瞬间爆发

22:03: 异常开播请求达平日200 倍，违规直播间突破 500 个，10 分钟内举报量超12 万次

22:15: 单场违规直播观看量峰值逼近10 万人，出现 "密码房"" 刷礼物解锁 " 等诱导话术

3️⃣ 系统瘫痪期 (22:30-23:30)

22:30: AI 审核队列严重阻塞，审核延迟从 300ms 飙升至45 秒，违规内容拦截率暴跌至0.7%

22:45: 举报接口因过载返回 "429 Too Many Requests"，用户举报全部失败

23:13: 违规直播间突破3000 个，覆盖用户超800 万，部分未成年人刷到血腥内容

4️⃣ 应急处置期 (23:30-00:48)

23:13: 平台触发 "Kill Switch" 应急机制，开始逐步关闭直播频道

00:00: 采取 "无差别关停"终极措施，清空整个直播频道，入口显示" 服务器繁忙 "

00:15: 部分账号被强制封禁，平台向公安机关报警

00:35: 核心功能开始逐步恢复

01:10: 直播功能全面恢复，风控系统升级

次日 (23 日): 快手发布官方声明，确认遭黑灰产攻击，股票低开低走，下跌3.52%