快手遭灰产“饱和式”攻击，专家建议常态化攻防演练

12月23日，快手发布公告称，快手应用的直播功能于2025年12月22日22:00左右遭到网络攻击，公司已第一时间启动应急预案，快手应用的直播功能已逐步恢复正常服务。快手应用的其他服务未受影响。

“这是一次水平较高的系统性攻击，不是一般团队可以实现，”知名安全团队DARKNAVY·深蓝安全研究员告诉记者，“比如本次攻击并非突发行为，而是长期化、规模化经营后的集中行动。攻击者大概率掌握了海量账号，然后同时上传或直播不法内容，突破了人工和AI的审核能力上限，这才让用户看到推送，形成群体效应。而且，本次涉事账号的网名、头像、IP属地等属性均没有显著的群体特征，说明攻击者的隐蔽性非常强。这些都体现了不法分子的专业化、工业化、自动化的攻击能力。”

“令人不解的是，攻击者的真实目的仍未明确。”该研究员分析称，“从攻击成本来看，由于注册账号直播需要实名认证，本次饱和式攻击需要消耗海量账号，无异于自杀式袭击。当然也不排除攻击者能够通过一些漏洞绕过实名认证的可能性，但这种情况下攻击成本就会大大降低。从攻击收益上看，以往此类账号往往是刷单、刷粉丝、刷好评或者发广告，都有着明确的商业逻辑，本次攻击似乎并无直接收益。考虑到快手是上市公司，可能涉嫌操纵股价，也不排除是黑灰产展示攻击能力的炫技。”

Choice数据显示，自12月16日至12月22日，快手的卖空股数从306.4万股稳步下降至214.5万股。22日遭受攻击后，23日快手卖空股份激增至1194万股。快手2025年卖空股数峰值发生在4月8日，达到3283.22万股。与此同时，从2025年12月15日至23日，快手连续7个交易日回购股份，累计回购872.47万股，涉及金额5.63亿港元。其中，23日快手回购271.76万股，涉及金额1.74亿港元。

该安全研究员认为，不只是直播行业，所有的互联网平台每时每刻都存在被黑灰产团伙攻击的风险。尽管各个平台都有安全团队和防御手段，但仍建议实行常态化攻防演练，从真实的攻击者视角出发，动态地发现和检修问题，提前做好预警和修复。