2025年12月22日晚，快手多个直播间同时出现涉黄、血腥等违规内容。此后有消息称，相关异常直播账号多达1.7万个，攻击持续了60至90分钟——目前这个数据没有被证实，也尚未被辟谣。

而当晚，快手发公告回应：22时左右，平台遭到黑灰产攻击，已紧急处理修复中，并已报警。

用户截图显示出平台应对攻击的痕迹，当晚，快手直播功能一度停摆，全线停播。

天亮后，快手再发公告：经全力处置与系统修复，快手应用的直播功能已逐步恢复正常服务，其他服务未受影响。

这是一次罕见且张扬的网络攻击。不只因为被破防的是头部互联网大厂，更因为“直播”历来是安全等级最高的、风控最严密的核心业务，而如此大规模、集中针对直播的攻击此前几乎没有先例。

在笔者发去询问之后，快手方面没有透露多于公告的事故细节。平台的实名制、内容审核机制等一系列常规防线是怎样被突破的，攻击者的动机是什么，尚未有明确答案。

基于有限的信息，我们采访了多位网络安全工作从业者，试图理解这场“直播事故”背后的攻防逻辑。

这起事件并不是吃瓜的猎奇事件，或平台翻车的又一谈资，它把隐秘而严肃的“网络攻防战”推到了台前——它真实影响着平台秩序、用户体验与公众利益。

审核机制何以失守

直播是平台的核心业务之一，也是风控等级最高的内容形态。按照常规流程，“网络主播实名制”要求，用户要开播，必须通过实名制认证；内容被推荐和展示之前，还需经过内容审核系统判定风险。

在地下黑灰产链条中，围绕“实名认证”的产业并不稀奇。

那么，大量明显违规的直播，是如何绕过这些防线，顺利开播并出现在用户眼前的？

吴崖斌在一家网络安全公司担任顾问，为党政机关提供网络安全咨询服务。在他看来，同时出现上万个账号去参与涉黄，且内容基本上都是提前录制好的，攻击大概率并非临时起意。

要实现这一点，攻击者首先需要掌握大量可用账号。“你至少得有1.7万个手机号和个人身份信息，才能在短时间内发起直播。”吴崖斌说。

在地下黑灰产链条中，围绕“实名认证”的产业并不稀奇。攻击者并不需要直接破解平台系统，而是通过“接码平台+猫池”的方式，绕过实名认证流程。

所谓“接码平台”，是专门用于接收短信验证码的中介；而“猫池”，则是由卡商集中管理的大量SIM卡设备，这些卡可能来自非正规渠道，甚至部分并未与真实使用者建立清晰绑定。卡商囤积大量手机号码，提前上传身份证、银行卡号，按平台流程注册养号，攻击者只要付费，就能获得这些账号。

“一个账号成本几毛钱到几块钱不等。”吴崖斌说。

从平台角度看，手机号码在运营商处已完成实名登记，平台通过动态的短信验证码与运营商建立信任关系——验证码正确，就默认通过了实名认证，判定这是“真实的一个人”。

“平台不是公安系统，它只能验证‘这个号码是可用的’，开放直播权限。”吴崖斌说，但手机号究竟是正常用户、不知情的信息被盗者，还是被批量操控的黑卡或虚拟号码，却不容易区分。