快手12·22事件复盘：黑产工具利用AI自动化攻击，高危时段防御指南

12月24日消息，国内短视频平台快手的直播功能于2025年12月22日晚间10点左右遭遇网络攻击，多个直播频道短期内涌现出大量违规内容。网络安全厂商火绒今日发文，对此次事件的成因和应对过程进行了详细复盘。

火绒安全指出，这次事件标志着该平台遭遇了一场具有里程碑意义的网络安全挑战。攻击者利用了自动化手段，精准地针对直播内容审核与管控系统发起干扰，导致部分违规直播内容在短时间内绕过了常规风控。整个攻击过程可概括为以下几个阶段：

前期探测期（12月22日18:00-20:00）：平台开始零星出现违规内容，但均在正常风控范围内被迅速清理。

攻击爆发期（12月22日22:00）：正值晚间流量高峰，大量新注册及被劫持的账号几乎同时开播，播放预制的违规视频。

系统僵持期（12月22日22:00-23:00）：违规直播持续存在，用户举报反馈失效，后台封禁指令执行出现显著滞后。

应急阻断期（12月22日23:00-23日00:30）：直播入口先是显示“服务器繁忙”，随后整个直播频道内容被清空。

服务恢复期（12月23日08:00）：违规内容完成清洗，直播功能逐步恢复正常。

在此次攻击的爆发期，黑产利用“群控”与自动化脚本实现了毫秒级并发操作，造成了“业务逻辑层拥塞”。攻击者特意选择在人工审核交接班且用户流量最大的薄弱时段下手，旨在最大化攻击的社会影响与系统压力。

根据火绒技术复盘，其攻击过程呈现出高度组织化和智能化的特点。攻击并非单纯追求流量冲击，而是针对平台业务逻辑中的关键环节——“内容识别后的封禁执行接口”，发起了高频请求，意在耗尽系统后端的处理资源。这使得系统在能够快速识别违规内容的同时，却无法及时执行封禁操作，陷入了“能发现、难处置”的状态。为控制事态，平台一度采取了暂时关闭直播入口的应急措施。

传统的DDoS攻击，旨在耗尽带宽；或者针对应用层耗尽HTTP连接数。然而，“12·22”事件展现了一种更为隐蔽且高效的形态，行业内部将其定义为业务逻辑DDoS。

攻击者通过对“封禁执行接口”实施高频洪水攻击，耗尽了后端计算资源。这导致系统陷入虽能秒级识别违规，却无力落实封禁的逻辑瘫痪，如同报警系统灵敏作响，但执法车辆却被恶意拥堵彻底困死。

火绒分析指出，此次攻击反映出黑产工具正在向更高级的形态演进。攻击工具不仅能够模拟人类操作行为以绕过基础防御规则，还表现出一定的环境感知与自主决策能力，同时展现出多智能体协作能力，例如在遇到阻力时自动切换策略。这种基于AI智能体的攻击方式，大大提升了攻击效率并增加了防御难度。

面对此类新型威胁，单纯依靠传统的规则过滤已显不足。火绒认为，防御思路需要升级，未来可能需要利用AI技术来对抗AI攻击。例如，通过生成对抗性样本干扰攻击者的识别模型，或部署能够动态生成交互陷阱的“生成式蜜罐”，以大幅提高攻击者的执行成本和经济负担。

此外，无论是企业还是个人用户，筑牢终端设备的安全防线，防止设备被恶意控制成为攻击源头，仍是网络安全的基础环节。

本次事件虽发生在服务端，但暴露出两个与端侧紧密相关的问题：

一是攻击流量源于失控的端侧（无论是模拟的还是被劫持的）；

二是对于MCN机构和专业主播而言，其推流终端本身就是高价值的攻击目标。

因此，火绒安全专家认为，在面对类似“12·22”这般复杂的网络安全事件时，端侧安全不应仅仅被视为保护个人电脑的工具，它应该是整个互联网安全生态的基石。

在该事件中，如果我们将视角从受害者（服务器）移向攻击者（发起推流请求的终端），会发现防御的最佳时机其实是在请求发出之前。对于企业而言，如果攻击流量来自于被控制的内部办公电脑或被植入木马的业务终端，那么部署强有力的端侧防护就是切断攻击的“熔断器”；对于个人用户来说，反病毒引擎的普及则是防止设备沦为黑产帮凶的根本。

对此，火绒安全建议广大用户，针对性筑牢端侧安全防线：企业需部署具备场景化防护能力的终端安全方案，通过IP协议精准管控、程序执行白名单、外设接入限制等功能，锁定终端业务边界；个人用户也应安装正规安全软件，及时更新系统与防护规则，借助弹窗拦截、网页威胁防护等功能，规避恶意攻击风险。