2026新规前的最后疯狂?从“崩老头”产业链到无差别黄播轰炸,这一夜的混乱给所有社交媒体敲响了最残酷的警钟|快手直播涉黄 12·22快手直播事故 网络安全攻击 违规内容治理
12 月 24
墙国的奇葩商业故事 12·22快手直播事故, AI内容审核, OAuth授权漏洞, 内容审核失守, 境外黑客组织, 实名认证漏洞, 平台监管责任, 快手直播涉黄, 快手系统崩溃, 恶意流量攻击, 批量僵尸号, 推荐系统操控, 涉黄视频刷屏, 深度伪造技术, 直播接口攻击, 社交媒体风控, 网络安全攻击, 账号封禁, 资本做空, 黑灰产攻击 2026新规前的最后疯狂?从“崩老头”产业链到无差别黄播轰炸,这一夜的混乱给所有社交媒体敲响了最残酷的警钟|快手直播涉黄 12·22快手直播事故 网络安全攻击 违规内容治理已关闭评论
快手被色情直播轰炸了,到底什么情况?怎么干的?谁干的?到底为什么?
大家好,欢迎收听“老范讲故事”的YouTube频道。今天咱们就来回答一下上面这几个问句。
快手被色情直播轰炸的过程
首先,快手被色情直播轰炸的过程是什么样的?2025年12月22日,也就是昨天晚上,北京时间 21:30-22点 之间,就已经开始准备了。有部分用户感受到了登录变慢、直播变卡。攻击不可能说我商量好一个点,在这一个点就准时开始,一定在前期是有准备工作的。所以从21:30准备工作开始了,22点到23:30进行了集中攻击。大量账号集中登录,在同一个时间点里头开始直播,播放一些色情内容,这个是集中攻击期。
23:30,也就是一个半小时以后,快手开始应急处理。首先呢是进行了一定的封号,但是封不过来。到次日的 0点10分 就开始彻底崩溃,开始无差别关停,把所有人直播间都关掉。到凌晨的 0:24,直接在快手的网页和APP里头把直播入口给关了,就是任何人到了快手里头,都看不到直播了。一直到次日的凌晨2点,才逐步的开始恢复。这就是整个的攻击过程。
到底有多少人在播?都放了什么内容?
1.7万个账号突然上来开播。这些账号呢都是小白账号,通过接码平台去注册的。什么叫接码平台?因为你注册快手账号,他要收短信,这种替人收短信的平台叫接码平台。他们通过这样的方式成批量的注册了,绝对不只是1.7万,整个在这一次的事件里头应该有几十万个账号在一起运作,但是呢开播的账号是这1.7万。这1.7万个账号呢还需要养号,其他那几十万账号是不需要养的。
账号养成的条件与现实
怎么个养法呢?因为你在快手开直播是有条件的,不是说我注册个新账号就可以来播的。虽然我们管这种账号叫小白账号,但是他也得养。在快手开直播的条件是什么?
- 实名认证:完成身份证上传、人脸识别等相关认证。现在看来呢实名认证就是一个笑话。
- 年龄要求:要求年满18周岁,既然有身份证嘛,肯定是年满18周岁的。
- 注册时长:注册要大于7天,而且没有违规记录。你说我当天注册当天上行不行?肯定不行,要7天以前的。
- 发布作品:这个账号还至少要发一条公开作品,上来以后什么都没发过,这事也不行。
- 粉丝数量:粉丝要大于6个。但是你想他手里有几万个账号,甚至几十万个账号,让他们之间相互关注一下,粉丝达到6个还是比较容易的。
- 观看时长:要求连续观看视频7天,每天大于1分钟。这块的话也完完全全是可以靠群控系统,也就是靠电脑脚本控制一堆手机,这个事都可以搞定。
然后还需要做设备验证。我们的设备上都是有设备指纹的,我们的手机上有各种的序列号:你的芯片有序列号,你的主板有序列号,你的操作系统有序列号。我们会把这些序列号搁在一起,凑成一个很长的字符串以后,去做一次哈希,就是把它变成一个离散的、不重复的字符串。这样的话我们保证每一个设备上的这个串是不一样的,可以知道到底是谁在直播。这个是要有设备验证的,你没有设备验证的话,你是过不去的。当然这件事呢,你对于群控系统来说也不难,因为他们可能一个机房里就有几万只手机。而且他们还有能力去伪装各种序列号,你的CPU的序列号、你的操作系统序列号、你的存储介质的序列号,他们是有能力去伪造的。所以这个验证也相当于是不存在。
为什么快手的审核系统崩了?
满足这些条件以后,你就可以开播了。现在满足条件开播的账号是多少?1.7万个同时开播。这个是很恐怖的,直接把审核系统给干崩了。
那你说快手这么大个平台,3亿日活,怎么就同时开播1.7万个账号就给你干崩了呢?正常一天里头新增的直播用户也就是千来号人。快手一天的新增注册用户大概几十万,但是呢你说这几十万个人里头,有几个惦记上去开直播的?还要满足刚才咱们讲这个注册7天、每天还要上去看视频、还要发这个视频、还有6个粉丝,你要把所有这些条件都满足了以后,所以他每天新增直播是很少的。即使是这样的,这新增直播这一千来人呢,也是在一天的24小时里头不定什么时候就上来。你让他们在一块上来,这个事也是很难的。但是现在这1.7万个人说咱们商量好啦,同时上,咔一把就全上来了。那这个AI的监控系统也好,人工的监控系统也好,肯定是盯不住的。
AI系统的每秒钟的审核能力是三条,不是很多。那你说我快手这么多人开,你不是同时开嘛,你开的时候我审核一下,开起来以后可能就是定期抽查。其实AI审核呢,更多的是进行语音识别审核,真正做图像审核和那个算力成本还是太高了。他可能过一段时间会抽那么几帧去看一眼,不可能说从头到尾把你所有的内容都去进行视频识别的。人工审核这个事,肯定比AI就更废了。他不可能说一秒钟看多少条,他可能要同时盯着多少个显示器这样来看的。所以人工审核的能力是有限的。这个1.7万个账号同时开播,就直接把他们全干死了。
直播内容与流量诱导
有127个违规直播间,这个很有意思。虽然1.7万个账号都播了,但是播的内容呢,未必都那么色情。这127个直播间呢,是播的非常非常色情的内容,其中43个被永久封闭了。还有一些呢,估计有一些平时的擦边博主也在这一次殃及池鱼了。快手的尺度呢,通常要比视频号和抖音要大很多。大家可以去翻一下快手,各种的色情擦边、各种性暗示的内容还是挺多的。即使不去进行攻击,这个内容都不少。
这些假账号呢快速的流动,诱导推荐系统进行分发。你说我这有一新账号开始播了,谁看啊?有6个粉丝,那我撑死了给你们6个人看,不就完事了吗?不是这样的。快手是有推荐系统的,他发现有一个账号现在开始直播了,然后有很多的人冲进去看了,他一定是知道有热闹可看,赶快让大家都来看看。这一次攻击的人,他们手里头应该掌握了几十万个账号,他们会快速的让这几十万个账号在这些开播的直播间里头进行流动。比如说现在开一个直播间,马上10万个账号冲进去了,推荐系统发现这有热闹,赶快让大家来看。这个直播间快速的就涨到20万、30万,就是有普通的人真实账号就进来看这个视频来了。有些直播间快速的达到了43万在线。有些人就发现,这个账号上来了以后,怎么突然就多了10万个新增的观看者?那肯定是假的嘛。你别人要进来也是一个一个进来,不可能一把10万个人一起一起进来。所以他们从后台日志上发现,有人去操控他的推荐系统。
那到底有多少人看了呢?当时平台的活跃用户超过1亿人。当然你说这1亿人里到底有多少看到了色情内容,这就没法去统计了。因为晚上10点到11点半这段时间,正好是快手在线的高峰期,也没什么事,又不着急睡觉,睡觉前再刷一会。
那么到底播放的是什么呢?你说真的有1.7万人在那给你扭屁股吗?没有。预先录制好的剪辑的色情内容,比如说在国外的色情直播间里头,或者是一些电影里的色情片段,拿着这些东西剪一剪,就给你拼成一段去直播去了。因为直播这个事,不一定非要有真人在这现场播。那头你是有摄像头播的,还是说放了一段视频,这个事并不重要。而且这些色情内容呢,还进行了一定的处理,比如说变声处理。因为刚才我们讲了快手的AI鉴别系统它主要是鉴别语言的,只要是对语言上进行一定的处理,增加识别的难度,那这个就可以绕过它的AI防控。另外呢就是可能对图片也进行了一点点的处理,以绕过AI审核。
具体技术分析:怎么干的?
下一件事怎么干的呢?这帮人技术有这么高超吗?首先结论,这个技术都是非常非常通用、非常简单的技术。
1. OAuth 技术与 Token 利用
这里边使用的第一个技术呢叫OAuth。这个技术是什么呢?平时你到一个什么网站上,你要登录,而且登录了以后可能还要验证,来验证去二次登录什么的。但是如果你每次进来都要求你登录,或者你登录到一个系统以后,过个10分钟20分钟要求你重新登录的话,那这个用户体验一定是非常非常差的。那怎么办呢?他们就使用这种OAuth的方式,就是你登录了一次了,我就给你一个TOKEN。这个所谓的TOKEN就是很长的一段乱码。拿着这个东西,你下一次呢,再向服务器申请东西的时候,你就不用登录了,你把这个TOKEN发给我,我就认为你已经登录过了。实际上呢是要降低用户的登录成本,以提高用户体验。
TOKEN这种东西呢,那肯定是没那么安全吧。你说我自己写一个程序,或者我自己通过第三方的客户端,我都可以直接拿到这个TOKEN。然后我拿这个TOKEN,或者把这个TOKEN传递给其他的客户端,它就可以继续向服务器申请信息了,或者申请各种的资源。这个事是很危险的。那么解决危险的方式是什么呢?就是这个TOKEN是有有效期的。它的TOKEN呢一般是分两种:
- Access TOKEN:有效期48小时。你一旦拿到这个Access TOKEN以后,你就反复的拿着这个TOKEN向服务器去申请:给我下一条视频、我要去买东西、我要开始直播了。
- Refresh TOKEN:有效期180天(半年)。你Access TOKEN到期了以后,你可以向这个服务器提交Refresh TOKEN,它会给你一个新的Access TOKEN,你又可以用48小时。
所以我们用手机也好,用网页也好,我们登录的快手、登录抖音这些服务,你半年基本上是不需要重新登录的。
2. SSO 统一登录系统
第二个问题呢叫SSO系统。SSO系统是什么呢?很多人登录抖音也好,登录这个快手也好,并没有真的去注册抖音快手的账号,我们是用手机号登录的,有的时候我们是用微信登录的。SSO就是说你只要是登录一次就可以了,我就可以拿这些账号呢,在相互之间可以认证的平台上去四处溜达了。很多平台呢,都实现了这种统一登录。快手也接入了一些比较小的平台,这些平台的安全性就没有那么高,这里头也会为这些黑客提供一定的方便。
3. 硬件指纹仿真
再往后一步是什么呢?就是硬件指纹仿真。因为刚才我们讲了,你要想去开直播,你需要给他设备TOKEN。在这个过程中呢这些黑客,他们就会通过一些仿真的方式去模拟一个设备TOKEN,能够绕过快手的审核。因为他有的时候会标记哪个设备上这个账号有问题,他每次会生成一些新的设备号,或者说这个设备是可信的,他会反复的养一段时间,最后跟快手的审核系统去躲猫猫、捉迷藏。
4. 直播协议绕过 (RTMP)
倒数第二步就该开直播了。直播的过程,实际上是一个对网络带宽、对于网络响应速度要求非常高的过程。所以直播呢是走的另外一套验证系统。直播呢需要两个码,一个叫RTMP的码,叫实时消息传递协议。每一次直播的时候,他需要通过快手的API先去申请。快手就会给你一个RTMP的地址,然后呢再给你一个RTMP的TOKEN。你拿到这两样东西以后呢,你就不需要在这个设备上干活了。你不是说我在哪个设备上申请,我必须在哪个设备上开播,你就可以拿着这个码传给其他的人,让他们去开播去了。所以直播的时候再绕一道。
5. 针对举报系统的 DDoS 攻击
最后呢很多人去举报。那么这些黑客呢,还干了一件事是什么呢?就是对举报系统进行DDoS攻击。反复的去访问快手的举报系统,直接把快手举报系统给干塌掉。所以导致呢甭管是真的谦谦君子,还是一帮假道学,他们想去举报呢都挤不进去。
这就是整个的攻击过程。所以呢并没有用到任何的高深的技术,相对来说都是比较简单的。
谁干的?快手的应对
那这事到底谁干的呢?首先要讲的是快手的教科书级的应对,就是他应对的还是很好的。直接报警,提交所有的访问日志,清空直播间。这个算是相对来说比较合规、比较好的应对方式了,把自己的责任基本上摘干净了。
然后锁定了三个境外服务器的IP。当然你说他境外服务器,到底是就在那开始干的呢?还是说也是个肉鸡跳来跳去呢?这事他就不管了,反正现在通报的是锁定了3台境外服务器,但是到底在哪个国家没说。
真正推流绝对不可能只有3个IP,因为你要靠这3个IP把这么多1.7万个流量推起来,你是推不动的。所以应该是在国内有大量的云服务器参与了推流。但是这个事也很简单,在各种的云上我去租服务器就完了。开俩小时其实没多少钱的,甚至还可以免费。所以它可以快速的开一堆的服务器,然后通过脚本把这些内容直接推出去。
现在呢还刑事拘留了3名技术外包人员。抓了三个人,但是这三个人呢,都不是策划者,都是给人做技术服务的。真正策划者呢通常在海外,目前还没抓着。冻结涉案资金87万元。跟这一次的攻击到底是不是有直接关系,都没法说了。
攻击成本:假账号是比较贵的,这个是需要成本的。而这一次呢真正废掉的假账号就这1.7万个。在中间跑来跑去去拉流量的这些账号呢,应该以后还可以继续使用。
嫌疑人:目前猜测是东南亚黑产团队,但是呢并没有实际确认。
到底为什么?四种动机猜测
下一个问题呢就比较奇葩了,这为什么呢?你干了这么个事,你总得赚点什么。目前呢有四种猜测。
- 猜测一:对手陷害。可能性不大。现在其实意义不大,你就算是把快手封了,剩下这节大的人也不干这个活。那些小的,你封了快手那流量也到不了你那去。
- 猜测二:柬埔寨的疯狂反扑。柬埔寨跟泰国现在打的正热闹的,前面说我要公布股东名单,发现没人理他。找了一个携程出来,导致一大堆人卸载携程。那是不是携程拉下马了以后,再把这个快手也拉下来?
- 猜测三:法律法规变更前的最后疯狂。1月1号开始,私发淫秽影像是违法的了。以前叫传播淫秽物品是违法的,但是说我们就俩人,互相发个色情照片,以前是不违法的,到2026年1月1号开始,这个事就违法了。现在有一个很奇葩的产业链,叫“瑜伽裤崩老头”产业链。他们就没法玩了。1月1号以后整个这产业链就没了,或者说对于他们来说呢,就压力就很大了。原来这帮人都是在快手引流的,现在就干脆最后疯狂一波。
- 猜测四:做空股票获利。这个事呢我并没有证据。12月22号晚上这个事情发生了以后,12月23号,也就是今天,快手的股票快速的下跌了5%。如果在港股上加5倍杠杆,400万本金扔进去,就可以挣出100万的利润来。
全球警钟
那这件事情出来以后呢,一定是为全球敲响了警钟。快手呢算是国内大直播平台里头比较乱的一个,但即使如此,快手的审核和合规能力放在全球来说已经算是强的了。因为中国本身对于内容的审核要求、合规要求就是很高的,要求你进行快速的响应,而且技术上也很先进。
那么快手能够被快速的击垮,像YouTube、X和Meta这样的平台,他们的审核能力肯定比快手还差很远。第一个就是他们本身国家的法律对这块的要求就没有那么严苛。比如实名制,像YouTube、X、Meta,你开直播什么的,什么也不要求你。而且即使是YouTube、X和Meta上有一些审核能力,当跨语种的时候,这种审核也是很难的。
所以呢如果是以YouTube、X和Meta这些平台为基础,去攻击这些非英语国家,可能都不会引起平台的注意。有很多东西可以放,比如说以AI合成和Deepfake为基础进行政治攻击,那太容易了。在这些平台上把内容发出去,拿假账号去直播间里去看,吸引推荐系统,让更多的普通人进来。等到平台发现的时候,那边可能已经翻天了。
总结
快手被色情攻击了,技术并不复杂,目的有点说不清楚,到底为什么。搞不清楚现在抓住的人在整个的攻击过程中起到什么样的角色。这次攻击暴露了社交媒体平台在现今社会中的危害性是多么的巨大,这真的是给全球敲响了警钟。
最后,明年1月1日起,私自发色情内容都是违法行为了。请大家一定要谨言慎行,不要给自己找麻烦。
好,这个故事就讲到这里,感谢大家收听。请帮忙点赞、点小铃铛,参加DISCORD讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。
背景图片:
Prompt:high-contrast watercolor illustration, modern live streaming company office interior with large enclosed streaming booths featuring floor-to-ceiling windows, computer workstations scattered throughout the space, rack servers positioned in the corner, colorful cables neatly connecting the booths to the servers, glossy reflections on surfaces, sharp subject separation with extremely legible negative space for text,neon cyan rimlight, deep navy background –ar 16:9 –s 250 –v 7.0 –p lh4so59
