文章总结： 文章分析快手事件，指出攻击者利用僵尸账号及自动化作业绕过风控。结论认为诈骗与攻击已合流，需构建体系化对抗。建议加强风控策略与安全运营投入，警惕中心引爆式扩散，利用AI构建智能防御，并将防御重心向端点侧转移以应对加密流量挑战。 综合评分： 90 文章分类： 安全大事件,安全运营,应急响应,AI安全,威胁情报

一个安全服务工程师对“快手事件”的思考

安天安服长衫乙

安天垂直响应平台

2025年12月24日 12:10 北京

点击上方”蓝字”

关注我们吧！

作为今年曾参与过部分票务、政务平台遭遇攻击事件应急响应的工程师，看到快手事件时，是萌生了写一篇分析解读的冲动的，但公司领导认为，大型互联网平台公司的整体安全防护、运营水平，都明显高于安全企业，安全企业的自身安全投入更无法和大型平台厂商相比，不同意以公司名义发稿，只能写个人Blog型文章。因此还是写了一篇（借助DeepSeek），准备放到有安服维护，但基本不发稿的“垂直响应”平台上。但看了其他同事给我转发来了我司李柏松老师接受《环球时报》的采访全文后，发现自己有些判断不太精确，又把他的访谈信息做了同步。

国内头部直播平台“快手”遭遇的攻击事件，由于事件尚在调查处置中，当前网络信息纷杂，甚至存在矛盾。在有明确信息证明存在快手本身遭遇入侵或存在内鬼等情况之前，现有信息只能做出如下判断：攻击者基于直播平台的服务接口和API，通过自动化作业实施整个攻击过程。

大量的账号是攻击者在这次攻击中投入的核心“成本和资源”，相关攻击的成本主要是资源成本，攻击者需要穿透实名审查等机制，获得大量的直播账号。获取大量账号需要控制大量的BOT，自动化进行注册、登录、内容播放等操作。攻击者可能购买了黑灰产的上游“接码”服务，也可能批量购买了其他团伙的历史潜伏账号，包括持续盗取积累快手合法用户账号等。大量账号就这是攻击者实施本次攻击最关键的成本资源。从后续分析来看，对攻击者获取账号的方式分析，也是其关键的排查点。例如，历史上就发生过攻击者入侵短信网关，埋设木马，用未启用号段号码注册账号，再用木马接回验证码获取大量平台账号的案件。

同时其还需要有僵尸网络资源，运营BOT、借助AI生成色情直播信息等。对黑灰产攻击者来说，没有绝对的成本概念，关键是看犯罪收益是否显著大于犯罪成本。当前黑产已经形成了上下游体系，大量服务都是可以租用的。攻击者有可能不需要很高的技术水平，租用各种服务就可以攻击。

攻击者的目的同样扑朔迷离。目前无法认定相关非法直播中出现诈骗信息情况的真伪。从经济获益角度分析，事件不合乎常理。如果是基于直播打赏获得收入，由于相关非法直播必然会被快速阻断，而打赏收入如果不是实时到账的，攻击者难以获取；如果是基于诈骗获得收入，虽然能短时间内构成人员聚集扩展诈骗信息，但相对时间窗口较短，是否能让攻击者能取得比其损耗的账号等资源更大的收益，存在疑问。因此也有很多声音猜测，这是遭到打击的境外诈骗团伙报复我相关执法的行动，包括认为是敌对势力的某种“能力宣示”，但目前均无充分证据来能确认或排除这些可能性。

值得关注的是，此次攻击利用了平台风控机制的运行规律。第一，夜间IT和运营值守人员相对极少；第二，瞬时爆发的巨量违规内容，直接冲击了内容安全审核系统的吞吐与处理能力，导致任务积压、响应延迟甚至服务降级；第三，大量用户在看到违规内容后发起的集中举报，反而形成了对举报响应的“DDoS攻击”，进一步加剧了处置人员的心智负担。

01

网络电信诈骗与网络攻击已经深度合流，必须构建体系化对抗思维

目前尚未有证据表明快手的后台系统遭到传统意义上的“黑客入侵”（狭义网络攻击聚焦于“杀伤链”——即攻击者如何利用漏洞、投放载荷、获取控制权），但本次事件攻击者基本完整依托平台企业的接口和服务应用，自动展开，针对的是风控逻辑的缺陷和风控资源短板。

近期我较多的工作，都是处置公司接到的各单位银狐（游蛇）事件求助。受害人搜索下载到的软件其实是银狐木马，运行后就开始拉群诈骗。从银狐（游蛇）团伙将木马植入和聊天诈骗结合，到快手事件，清晰地揭示了一个严峻趋势：诈骗和网络攻击的黑产活动已经合流，与黑产对抗将是能力、业务、心智、运营的“体系对抗”。

02

更严苛的风控策略与持续安全运营投入是抵御风险的基石

本次事件警示我们，必须依托与业务深度结合的常态化安全运营能力和基础风控能力实现防御。对平台厂商来说，这种攻击不是传统的入侵，并不是单纯靠购买安装安全产品，购买服务来解决。需要依托风控策略、行为画像和内容安全等机制，通过扎实的安全投入常态化运营来应对。

严格的风控策略、日常安全运营能力建设，在业务高速发展期被往被企业视为“发展阻碍”，但这些都是降低极端风险的基石。例如，对需要开通直播的用户强化实名认证机制，需要多机制验证等。注册时引入社交担保机制，制定针对新用户的冷启动策略，包括限制新用户直播时间、严控新用户上量；基于设备+行为+社交图谱的画像与信誉评分；构建基于多因子熔断模型的自动化关闸机制；设计能够避免举报系统过载的过滤机制等。

写到这里时其实有些心虚，因为虽然协助过一些政务、央企平台设定风控策略，但大型互联网平台团队是在高强度常态对抗中，对风控的理解要比我们这些安全企业工程师深刻得多。每一条风控策略都必然伴随着流量和客户的损失。对以流量变现为本质的互联网平台企业，风控体系承受的更大的常态压力，可能是来自与业务部门的冲突和管理者的压制。

也许快手事件能让更多的企业治理层、管理层和业务单元，理解安全与风控的价值。

03

威胁扩散模式持续演进，需对“中心引爆式”攻击保持高度警惕

威胁的扩散模式在发展进化，也会定时回流。早期感染文件的病毒、自我复制的蠕虫（网络扫描传播），到利用社交关系的连锁信、SNS分享传播，攻击者一直在寻找获利最大化的传播路径。随着基础平台安全性的改善，类似知名网站遭遇首页挂马等中心点扩散事件，最近几年并不多见。但本次快手事件再次呈现典型的“围绕关键中心点引爆式”扩散模式。

安天CERT曾经在2016年网络安全威胁年报中预测了勒索攻击会与蠕虫合流，次年则是WannaCry（魔窟）病毒，这就是基于对黑灰产传播和获利逻辑分析，形成的结论。

攻击者精准地选择了一个日活数亿的巨型社交平台作为“攻击发射台”和“放大器”。他们利用平台的实时互动和开放特性。我们需要综合防范从定向“杀伤链”、自动化“传染链”到引爆“扩散网”等各种威胁模式，尤其要加强对可能被利用为“中心点”的核心业务场景的保护和监控。

04

AI赋能的大规模自动化攻击已成常态，必须以“AI对AI”升级防御

本次攻击的显著特点之一，是其背后高度自动化的行为链。从批量注册、养号、到集中开播、互动刷量，黑产早已经已大规模自动化。在各种网络攻击活动中，漏洞挖掘、病毒和恶意代码编写的自动化已经部分实现，利用AI生成虚拟头像、绕过图片验证码，使用自然语言处理技术生成诱导性话术更加成熟。

攻击方利用AI提升攻击的突破能力和稳定性。对于防守方面言，具有提前布防的主动权，更需要借助AI整合数据采集、研判、分析、审核、处置机制，将人工智能深度融入防御体系，构建“AI对AI”的智能风控中枢。

延伸思考：全流量加密时代下政企机构的防护重构

此次事件中，有害信息通过平台App直接推送到海量用户的手机端和PC端。这种方式，能推送诈骗信息，也就能推送钓鱼攻击链接、木马病毒等。这揭示了一个普遍性的严峻现实：政企的传统纵深防御必然被端到端加密穿透。在HTTPS等加密通信协议已成主流的今天，传统基于网络边界（防火墙）和信道检测（DPI）的安全手段效果已被大幅削弱。恶意内容、欺诈链接乃至木马病毒，都可以通过加密通道无障碍地直达最终用户的终端设备。

对于政企机构而言，这意味着防御重心必须坚定不移地向端点侧（包括员工PC、移动设备、服务器）转移和深化。所有关键的防御能力——恶意代码检测、行为监控、数据防泄漏、应用控制等，最终都需要在端点侧实现。无论攻击是企图传播有害信息进行诈骗，还是投递恶意软件窃取重要信息，端点设备都是最重要也是最后的防线。

防御需要调整与重构。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天垂直响应平台 安天安服长衫乙《一个安全服务工程师对“快手事件”的思考》