事件概述 - 中国最大短视频平台之一的快手科技于12月22日晚间遭遇大规模网络攻击，直播频道出现大量色情及血腥内容，部分直播间一度涌入近十万人观看，此后直播功能一度关停，至凌晨后陆续恢复正常，这是过去几年来中国互联网平台遭遇的最大规模安全事故之一 [6] - 12月23日港股开盘，快手股价应声下跌，开盘跌近6%，至收盘跌幅收窄为3.52% [8] - 公司早间回应称平台遭遇黑灰产攻击并已紧急修复，午间在港股发布自愿性公告，称直播功能于昨晚22时左右遭到网络攻击，已启动应急预案并陆续恢复服务，其他服务未受影响 [8] 市场与舆论反应 - 事件引发相关讨论发酵，出现谣言称违规直播间隐藏病毒链接可盗取微信账号，微信官方随后辟谣称未发现相关问题和收到类似反馈 [11] - 短时间内，快手在社交媒体上的关注度骤升，快手应用在苹果App Store中国区下载榜一度跃升至第二位，网传截图显示有404万人回归 [11] - 至当日下午，快手仍位列苹果App Store免费下载榜第二位 [13] 攻击细节与技术分析 - 攻击时间线显示，22时之前已有用户反映登录异常、播放卡顿，22时起攻击正式发起，部分消息称峰值时段有约1.7万个批量注册或被盗账号集中开播，传播涉黄内容及不良链接 [16] - 360数字安全集团专家表示，此次事件极有可能是一场有组织、有预谋的外部黑客攻击，攻击者可能利用了直播推流接口的底层漏洞，绕过了平台的实名认证与内容审核链路，暴露出公司在应对极端安全攻击时的风控防御体系存在明显漏洞 [16] - 奇安信安全专家汪列军表示，此次攻击能造成大规模破坏，核心原因在于黑灰产已全面迈入自动化攻击时代，而平台仍依赖传统人工防御模式，传统人工审核已无法应对规模化攻击 [16] 直播内容审核机制 - 一位前字节跳动员工透露，直播采用分级审核机制，不同直播间的审核力度不一，与热度、主题领域、主播历史信用等因素相关，高热高危直播间需审核专员实时盯屏，低热直播间一般以机审加人工轮询抽检为主 [17] - 机审机制涉及画面抽帧流、语音STT流、直播间评论流等多条链路，每一路信号流都有独立的后续机审和人审策略，任意一路出现问题都可能导致自动停推或停播 [17] - 由于直播内容是实时生成实时消费，审核是所有内容形态中最复杂的，审核是在效率、安全性、性价比等维度中选择一个平衡点，而非最大化安全，因此也最容易被黑产攻击 [17] 行业安全事件背景 - 近年来全球互联网领域安全事件频发，例如上月互联网基础设施服务商Cloudflare的大规模宕机事件，导致包括OpenAI、X、Spotify等全球网站停摆，但该事件由自身系统Bug触发而非网络攻击 [17] - 历史上不少大规模安全事故源于自身技术漏洞，例如2015年5月支付宝因光缆被挖断导致超90分钟大规模宕机，阿里此后实现“异地多活”以减少影响，但支付宝小规模系统故障仍频频出现 [18] - 同样在2015年5月，携程官网及App瘫痪近12小时，创下中国互联网公司系统瘫痪最长纪录，最初称服务器遭攻击，后续更正为员工错误操作所致 [18] - 今年年初DeepSeek爆火后，线上服务一度遭遇外网大规模网络攻击，导致平台注册服务出现异常，为应对攻击一度限制了+86手机号以外的注册方式 [18] 业务影响与财务数据 - 直播是公司核心业务之一，2021年之前一直是第一大收入来源，2025年第三季度财报显示，当季直播业务收入同比增长2.5%至96亿元，占总营收比重为26.9%，位列公司第二大收入来源 [19] - 公司在自愿性公告中警告投资者，“敬请各位股东及潜在投资者在交易本公司证券时谨慎行事” [20] 网络安全监管框架 - 今年9月公布的《国家网络安全事件报告管理办法》列出了“网络安全事件分级指南”，其中大型以上网络平台等被攻击篡改导致违法有害信息传播，符合特定情况可被认定为“大范围”或“特大范围” [20] - 具体标准包括：在主页上出现并持续2小时以上，或在其他页面出现并持续12小时以上；通过社交平台转发1万次以上；浏览或点击次数10万以上等可认定为“大范围” [21] - 若在主页上出现并持续6小时以上、通过社交平台转发10万次以上、浏览或点击次数达100万以上，则可被认定为“特大范围” [21] - 该办法规定，网络安全事件处置工作结束后，网络运营者应当于30日内形成事件处置总结报告上报，若采取合理必要防护措施并按预案处置，可视情从轻或不予追究责任 [21]