21世纪经济报道记者周慧 北京报道

12月22日晚，快手多个直播间涌入大量色情内容。

12月23日，围绕快手直播间事故引发的企业治理和网络安全讨论成为热门话题，为什么像快手这样的超级APP应用和市值2700多亿港元的科技公司，就这么“轻易”被黑灰产攻破？

截至当日下午四点，经历惊魂之夜的快手，股价已跌超过3个百分点。

某互联网大厂负责网络安全的资深张明（化名）告诉21世纪经济报道记者，互联网平台遭遇网络灰黑产攻击的事情经常发生，一般后果是造成经济损失。快手直播间事故这类造成重大影响的不多见，一方面涉露骨内容，传播面广；另外，快手事故发生在晚上22点左右，安全团队在风险感知、人审团队在值班方面、技术或者策略合理性方面、应急响应方面可能存在一些问题，具体原因待调查结果。

21世纪经济报道记者还采访了多位网络安全企业的资深专家，解读网络黑灰产是如何运作，以及互联网平台的网络安全风控难题。受访者认为，黑灰产已全面进入“自动化攻击”时代，而多数平台的直播间防护仍依赖“人工审核+基础关键词拦截”，攻防效率差距悬殊。

网络黑灰产如何发起攻击？

快手提到的“网络黑灰产”，到底是什么？

天融信科技集团副总裁白峻告诉21世纪经济报道记者，网络黑灰产一般是指互联网行业里的“阴暗操作手法”，黑产违法，灰产违规，它们伪装成常规用户通过账号批量化、数据操纵等手段影响直播、电商的真实生态。黑产是违法的，灰产是违规、灰色操作，两者常常交叉，尤其在直播、电商刷量、短视频运营中。

举例来说，利用盗取账号刷单套现，批量注册账号发垃圾广告或刷粉，这种违法程度高、风险极大、资金流向隐蔽，是完全违法的网络黑产。

在互联网大厂有多年网络安全工作经验的张明提到，从行业来看，近些年互联网大厂降本增效，一些有丰富应对网络安全事故经验的35岁以上员工变少了，网络安全意识有下降的趋势。外部网络攻击，通常会通过渗透视角，对产品的全流程策略进行测试，找到产品的漏洞、策略薄弱点，然后迅速通过规模化手段对产品和系统进行压制。快手这次事故，综合公开信息来看，黑产肯定不是头脑一热，就发起了攻击，整个过程应该筹备了很久。

对于快手遭遇的网络攻击，奇安信安全专家告诉21世纪经济报道记者，这次攻击手法类似是黑灰产利用自动化工具，接码批量注册/劫持账号、干扰审核、分布式推流、实施"饱和攻击",导致违规内容短时扩散，这种规模化攻击完全超出人工审核的应对极限，导致安全审核体系近乎瘫痪。

图：快手股价下跌 来源：wind

白峻也表示，这起网络安全事故再次证明，如果用户注册阶段的风控被突破，那么后续的内容审核、人工巡查、封禁处置，都会被动。 从风控视角看，这类攻击并非偶然，而是高度成熟的产业化行为。头部公司无法彻底避免黑灰产攻击，根本原因在于攻防不对称与系统性约束的多重叠加，而不仅仅是“审核人数不足”或“技术不行”这类单一短板，包括一系列问题，比如，攻击自动化和防御人工化存在效率差距，企业攻防成本极度失衡，技术滞后与资源投入不足， 内部风险与权限失控，监管与协作的结构性难题等。

奇安信安全专家介绍，直播间之所以成为黑灰产的重点攻击目标，核心在于其“高流量、强互动、低门槛、高变现效率”的特性与黑灰产的非法诉求高度契合。直播间场景本身存在一些易被攻破的设计与防护短板，其中包括，账号准入门槛低，易被批量操控，导致黑灰产可通过自动化工具批量注册僵尸账号（如快手事件中的1.7万个僵尸号），无需真实身份验证即可开播，且账号成本极低（暗网批量注册账号单价仅几元）。

另外，实时互动场景导致防御难度激增，直播间的弹幕、评论、主播话术、挂链等均为实时动态内容，传统人工审核难以覆盖“每秒数十条”的互动信息，而AI审核若未针对直播场景优化，易被黑灰产通过“话术变种、链接伪装、画面模糊处理”等方式规避检测。

其三，黑灰产已全面进入“自动化攻击”时代，而多数平台的直播间防护仍依赖“人工审核+基础关键词拦截”，攻防效率差距悬殊。例如黑灰产每秒可发布数十条违规弹幕或挂链，人工审核根本无法及时响应，形成“封禁不及新增”的被动局面。

企业风控还能做什么？

快手直播间事故发生后，色情内容出现在多个直播间，有媒体报道称露骨内容直播时间超过半小时。快手作为一家科技公司的技术能力、风控水平以及应急反应能力等，受到了市场质疑。

天融信科技集团副总裁白峻告诉21世纪经济报道记者，首先企业风控制要有对批量注册识别能力，不要只判断“这个账号像不像真人”，更要判断“这一批账号是不是同一套脚本造出来的”；其次，建议注册与行为的联动风控，高风险注册账号在首日行为中必须被重点盯防，尤其是冷启动即开启高风险功能的行为；当系统检测到异常规模的同步行为时，应具备自动熔断、限流、功能降级能力。 对于平台企业来说，封禁账号只是结果，真正有效的是溯源设备、IP、接码渠道，持续压缩黑灰产的生存空间。

奇安信安全专家还提到，虽然直接关停相关功能的处置方式，短期止损价值值得肯定，但长期来看不够合理。更优的处置逻辑应是：“精准关停违规账号及直播间+快速修复技术漏洞+同步启动用户风险预警与维权通道+后续升级防护体系”，既实现紧急止损，又最大限度保护合法用户权益，从根本上防范类似攻击。另外，企业网络安全升级不能仅聚焦外部攻击防御，内部漏洞引发的风险同样不容忽视。

在张明看来，企业完全杜绝网络安全事故没可能，网络安全是一个需要全链路识别和治理的问题，需要站在资产管理、办公环境、产品开发、线上运营等全链路去甄别和治理的，并且在每个环节要有一整套的事前感知、事中对抗、事后应急的机制去保障损失降低到最低。

快手要承担什么法律责任？

针对12月22日晚平台异常情况，快手对21世纪经济报道回应称，当晚22时左右，平台遭到黑灰产攻击，目前已紧急处理修复中，平台坚决抵制违规内容，相应情况已上报给相关部门，并向公安机关报警。

当国民级APP应用，涌入大量色情内容，平台需要承担什么样的责任？有丰富企业合规经验的北京清律事务所首席合伙人熊定中律师熊定中告诉21世经济报道记者，这起事故看起来是个内容审核问题，但实际上是个安全问题。因为这是被大规模黑客攻击后的结果，不是平台用户发送违规内容未能被正常查处。

有互联网平台企业资深法务也对21世纪经济报道记者表达了类似的观点，这种涉黄内容不会是互联网平台主动传上去的，首先需要查清真正是谁上传的，刑事责任的认定是比较严格的，互联网平台可能会承担相应的行政处罚。

“这个需要看快手对强制性的计算机系统安全的防护要求是否做到位，系统是否有重大安全漏洞未被发现，以及最重要的，出现大规模攻击后的应急响应机制是否真实有效启动等等。对应承担的是网络安全责任。后续监管部门应该要对包括但不限于前面所说的问题展开调查。”熊定中表示，快手这么容易被攻破，可能在上述提及的几个方面存在问题，但具体要以监管部门调查结论为准，目前情况大家都不清楚，需要等待深度调查。