一、事情概要
2025年12月22日晚22:00,快手直播遭遇了一次里程碑式的业务逻辑DDoS攻击,攻击者利用自动化工具操控海量账号,通过推流接口漏洞绕过审核,导致违规内容大面积“沦陷”。平台最终被迫采取全量关闭直播频道的 “熔断” 措施。
2025年12月23日早00:30-08:00,直播功能陆续恢复。
此次事件对快手的口碑与股价造成了巨大冲击。
二、时间线
根据火绒12月24日发布的复盘报告,本次事件分为以下几个阶段:
1、攻击试探,12月22日18:00-20:00
平台出现零星违规内容,处于常规风控处理范围,未引起警觉。攻击者控阈值,校准攻击参数。
2、攻击爆发,12月22日22:00
攻击正式开始。正值流量高峰,约1.7万个僵尸号或被劫持号同步开播,推送预制违规内容。
3、攻击僵持,12月22日22:00-23:00
违规直播间如潮水般涌现,用户举报失效,平台封禁严重滞后,系统陷入瘫痪。
4、应急熔断,12月22日23:00-12月23日00:30
平台被迫采取极端措施:全量关闭直播频道,页面提示“服务器繁忙”或“无内容”。
5、服务恢复,12月23日00:30-08:00
平台开始清洗,直播功能陆续恢复正常。
三、本次攻击的要素
1、快手直播的封堵业务流程,瓶颈十分明显
先开播(人工审核资源不足,先播起来)-》AI抽帧审核+用户举报-》人工审核(资源不足)-》调用封堵接口进行封堵(封堵操作并不简单,需要处理下游多种操作)
2、攻击者对快手的审核流程十分了解,应该是长期潜伏关注或有其他信源
1)攻击者准备了大量的攻击账号,包括一批“高质量”账号,攻击高峰期有1.7万攻击账号同时开播(DDoS攻击的基础)
2)攻击者发现了快手推流接口的业务逻辑漏洞,可以绕开业务服务器的鉴权机制,伪造推流地址(Token),推流给CDN节点(本次DDoS攻击奏效的大前提)
3)攻击者没有针对AI自动审核功能,而是精准DDoS攻击了封堵接口(本次DDoS攻击的重点)
4)攻击者特地选择了22:00左右,用户多、流量大且快手审核人员换班的时间窗口开启DDoS攻击(雪上加霜)
3、攻击者使用了“具备自适应能力的自动化攻击框架”替代了过往的攻击脚本,提升了封杀的难度(虽然不严谨,但为了便于理解,后面称之为“AI Agent”)
1)AI Agent可以根据封堵情况,灵活的执行切换IP,粗暴的封杀IP几乎就没用了
2)AI Agent可以根据平台策略,灵活的调整攻击频率,其他路径的识别、封杀更加困难
3)AI Agent可以模拟人类操作欺骗平台行为,其他路径的识别、封杀难以奏效
四、攻击是如何成立的
1、攻击者做了大量的踩点工作及前期准备(团队)
2、攻击试探,校准攻击参数(老手)
3、1.7万攻击账号,利用推流漏洞,同步违规开播,向CDN推送违规视频
4、快手的AI审核还在工作,人工审核疲于应对,大量合法封堵请求到达“封堵接口”
5、攻击者同步DDoS精准狙击“封堵接口”,封堵请求数量比平时暴增上千倍,封堵接口崩溃,拒绝服务,封堵失败
6、平台虽然能识别出违规内容,但没有资源进行封堵,造成了“业务逻辑耗尽”(攻击成立)
7、攻击者利用推流接口漏洞,让被封杀的账号,仍然可以开播,账号封杀无效
8、攻击者借助AI,自动应对IP封堵等防守措施,人工封堵效果极差
9、攻击者借助AI,自动适配平台策略,自动调整攻击频率,封堵效果极差
10、平台难以应对,最终只能关闭整个直播服务
五、快手存在的问题
1、审核过程,大量依靠人工,封堵手段,过于传统,难以对抗AI攻击(作为头部直播平台,理应做的更好)
AI审核工具其实没有生杀大权,只能发现问题,并不执行
人工审核也只是同意封堵,执行也是给到下游的封堵接口
2、推流接口存在严重的逻辑漏洞,可以被攻击者绕过鉴权机制,账号封杀没有用(据说是为了兼容低版本应用,特殊情况下不做二次校验,作为头部直播平台,理应做的更好)
3、封堵接口设计时,并没有考虑到如此大的并发量,被直接打爆了(平台前序防御措施被绕过,超过平时上千倍的请求一起过来,确实比较难)
业务逻辑复杂,没有主动降级,扩容也不及时,有提升空间
流量预计:平时请求级别大概率在1秒钟十几个几十个,被攻击时请求级别可能在1秒钟可能有几万几十万个,请求数量可能提升了上千倍
4、没有对抗AI攻击的应对能力,面对AI自动换IP、调整攻击频率、模拟用户行为等操作,缺少防御手段(确实比较难)
5、决策者缺少快速熔断的决断力,导致负面影响扩大化(这条十分苛刻,按当时的情况判断,很考验决策者的判断力和勇气,很难很难很难)
六、对我们的启示
本次攻击,攻击者利用接口漏洞+AI工具,用“合法流量”发起“自杀式”业务拥堵,暴露出当前安全架构在自动化防御与极限架构上的双重短板。
这次事件不仅仅是一次技术事故,更像是一场针对“传统互联网防御体系”的公开处刑。咱们的安全防疫体系,也要尽快从“被动修补”快速过渡到“主动免疫”:
1、零信任:不再区分“内外”,所有请求默认可疑,严验“行为”而非只验“身份”
2、入口决胜:在入口处就把机器人挡在外面,别等出事了再“救火”
3、防流不能只防点:攻击者用“合法流量”淹没你,防御必须从“堵漏洞”升级为“控流速”
4、用AI对抗AI:对于高置信事件,审核权和封堵权也要给到AI,人工只做复核,必须实现秒级自动熔断
5、独立救命通道:核心防御接口(如封禁)必须物理隔离,必须做好熔断和降级,扩容资源要充足,哪怕天塌下来也要打得开
6、成本换生存:安全无小事,平时看似浪费,关键时刻能救命。AI时代,安全防护的成本会与攻击成本会更加的不对称
7、高危风险:必须及时发现和修复,不能被业务牵着鼻子走