作为网络安全与风控机制的资深从业者，卢圣龙比绝大多数人更早地得知了快手直播事故。
12月23日，刚过晚上10点，他所在的网络安全行业的内部群聊开始陆续弹出截图——快手直播界面中出现了一些明显违规的内容。随后，在快手自己的应急响应中心群里也出现了同样的消息。卢圣龙和业内技术专家们猜测着是否是某个审核模块“临时挂掉”。但随着截图、录屏越来越多，传播范围迅速扩大，他才意识到：这不是一次简单的技术故障。
当晚，快手大量直播间同时出现涉黄、低俗和血腥暴力内容，部分直播间观看人数近10万。截图与视频如病毒般在各社交平台和群组扩散。在经历限流、封禁后，快手最终以直接下架直播入口的形式，才控制住态势。直播功能在零点45分左右基本恢复。
整个过程持续了约两小时。快手随即发布公告，称“遭到黑灰产攻击”。
卢圣龙在网络安全领域从业13年，目前是一家网络安全公司安全攻防实验室的负责人，工作之一是作为授权黑客，测试一些单位或公司的网络安全。
他说，事故发生之后，业内讨论焦点并不在于攻击本身，而在于快手的风控系统为何被击穿，以及在约两小时的异常窗口期里，平台为何没能迅速切换至应急状态。“这个bug的产生有可能是因为算法故障，也有可能是风控算法在进行灰度更新，或是企业用于故障隔离和快速恢复的内部服务高可用架构有缺陷。从发生到完全处置，快手用了近两小时，这个响应时间偏长，说明他们可能在应急处置流程、故障感知和切换机制上存在短板。”
在卢圣龙眼中，这场风波像一面镜子，照出了平台业务增长与安全投入之间的长期博弈，以及整个互联网行业在狂奔中留下的安全隐患。
“从事发到完全处置花了两小时，时间太长了，是有问题的”
镜相工作室：你最初是怎么得知“快手直播间事故”的？
卢圣龙：我是在几个网络安全论坛的群里看到的。快手自己也建了一个“应急响应中心”的群，用来和外部安全研究人员沟通漏洞信息。
那天晚上大概10点左右，这些群里开始有人说快手的审核风控平台好像挂掉了。一开始大家没往“攻击”上想，都以为是内部故障。
镜相工作室：所以一开始并不认为是黑客攻击？
卢圣龙：对。如果是典型的黑客攻击，通常以拒绝服务（注：如DDoS攻击，一种网络攻击，通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为），或者隐匿入侵控制为主。比如DDoS攻击，有可观测的流量差异，平台一般会明确说明攻击类型，那种攻击往往是为了让服务瘫痪，而不是精准绕过风控审核后大量开启非法直播。
所以，业内更倾向于讨论，是否是快手的风控系统本身出了问题——可能是算法失效，也可能是风控系统在灰度更新，或者临时出了bug。而且晚上10点是直播高峰，系统压力大，可能正是脆弱的时候。
镜相工作室：你如何看待快手的处置过程？
卢圣龙：从事发到完全处置花了两个小时，这个时间太长了。这至少说明（快手）内部高可用架构和应急响应机制有问题。
对于快手这样体量的平台，核心风控系统失效，理论上应该有秒级监控告警。理想的应急响应链路应该是：风控失效→秒级告警→业务自动切入人工审核队列或严格限流模式→安全与运维团队紧急处置/修复→系统恢复。
从结果倒推，长达两个小时的处置时长，说明漏洞要么没被发现，要么是告警没响应，要么是应急切换机制没生效。
正常来说，如果风控系统挂掉，业务侧也可以启动人工审核拦截不合规的直播申请。现在从结果倒推，本应启用的人工审核拦截没有发挥出应有的效果。这还有可能与架构设计有关，当业务的优先级高于安全，平台为了保障业务连续，在风控失效时，业务系统为了不中断服务会默认放行内容。
这件事情影响太大了，事件传播得也非常快。但到目前为止，真正的原因还没有定论，各种分析也都不够准确。
具体的原因，快手应该很快会有更详细的报告。这类涉及公共内容安全的事件，有关部门通常会要求企业提交详细报告，公众也有权知道到底发生了什么。目前可能还在内部调查和沟通阶段。
镜相工作室：平台在这类事件中可能要承担什么责任？
卢圣龙：如果最终被认定为网络安全事件，平台可能面临违反《网络安全法》《数据安全法》的处罚，包括罚款、业务整改，甚至暂停服务。如果涉及用户数据泄露，还会触犯《个人信息保护法》。此外，内容安全主体责任履行不到位，平台也可能被约谈、要求整改。
黑灰产不一定是“盗号”，更可能是“用号”
镜相工作室：多家媒体报道称，当晚有上万个账号进行违规直播。根据目前的信息，可以初步判断这些账号来源是什么吗？
卢圣龙：目前没有证据表明这些账号来自普通用户被盗。更可能的情况是，这些账号属于黑灰产手中的“库存号”。如果真是黑灰产攻击风控平台，其实不需要大家想象中那种“千万级”的巨量冲击。关键在于攻击点要精准。
镜相工作室：也就是说，不一定是“盗号”，更可能是“用号”？
卢圣龙：对。很多平台存在大量被批量注册或收购的账号，它们平时可能处于静默状态，一旦风控出现漏洞，就会被集中启用。
镜相工作室：和过去互联网大厂的数据泄露事件相比，这次事故有什么不同？
卢圣龙：这个事情要分两个方面去看。第一，如果按照快手所说的，风控平台或业务被攻击，那和我们日常处理的案例没什么不同。
从快手本次事件中用到的技术来说，在安全圈内不算""新的攻击手法""，但它们被组合起来针对直播平台的特定业务逻辑（如高并发的审核机制）进行了精准打击，从而造成了巨大的破坏。
第二，被攻击之后的黑产的一系列行为，比如大量涉黄直播出现，就和单纯的数据泄露有比较明显的差异。
一般的数据泄露，攻击者的目的比较明确，可能想拿到主机里的信息，商业泄密，或者挖矿、勒索、数据窃取。现在看来，快手这次的攻击者，目的可能是为了大量开设直播，里面可能会有一些导流的情况，挂一些链接，利用系统漏洞牟利。
镜相工作室：快手发布公告称，此次事故是遭到黑灰产攻击。黑灰产产业链是如何运作的？
卢圣龙：黑灰产已经形成了联系紧密的上中下游分工。如果是有组织的黑灰产行动，上游是工具开发者、验证码平台、数据贩卖者。他们提供自动化脚本，可以绕过风控。中游是“号贩子”。他们收购、注册、养护大量平台账号，并根据粉丝数、活跃度进行分级定价，就像一个“账号期货市场”，给攻击供应大量实名或非实名的账号。下游是攻击的执行者。他们租赁或购买工具与账号，在风控失效的时间窗口内集中开播，目的是引流、诈骗或恶意推广。
而且，这种攻击成本并不高，但回报可能很大。利用群控系统和廉价的“僵尸号”，即便绝大多数账号被封，只要有极少量存活并成功引流，收益即可覆盖成本。
镜相工作室：随着技术的发展，企业目前面临的黑灰产攻击有哪些变化吗？
卢圣龙：一方面，黑灰产的作恶门槛越来越低。有些黑产团队已经在使用AI做数据的关联和分析。比如通过AI打标签、出诈骗剧本。如果黑产团队有你的人脸信息，和其他足够多的数据，可以生成足够逼真的视频或音频诈骗。
另一方面，黑灰产的危害程度和影响范围也越来越大。比如通过直播，短时间内就能影响到上千甚至上万人。
而且，本质上攻防对抗就是成本对抗。作为攻击者的黑产愿意投入资源，可以买到大量的账号，可以通过买验证码平台，绕过系统的监控，批量用虚假身份注册账号。而对于防守的企业来说，资源是固定的。如果黑产的投入比企业安全防护高很多倍，系统是可以被攻破的。
安全不应是“可妥协的成本”
镜相工作室：从行业角度，“快手直播事故”有什么值得反思的地方？
卢圣龙：对企业来说，风险是共性的。快手的问题不是孤例，它反映出国内企业一个长期存在的问题：安全是成本中心，而非利润中心。在财务报表上，安全团队的投入是纯支出。它不直接带来新增用户、提升活跃、增加营收。因此，在资源分配、技术立项、乃至公司话语权上，安全部门常常处于弱势。表现在人上，很多公司安全团队人力紧张，要负责多个安全领域，很难做深做透。
在业务压力下，安全常被视为“可以暂时让步”的部分。很多公司的安全建设是“合规驱动”和“事件驱动”的。不出事，预算紧张，优先级靠后；出了事，才会短暂重视，追加投入。这种循环导致安全建设缺乏前瞻性和体系性。
镜相工作室：对于企业来说，安全部门的理想投入比例应该是怎样的？
卢圣龙：这很难给出一个统一的数字，但它应当与业务规模、风险等级匹配。目前国内企业在安全上的IT投入占比，相比业务系统投入仍然偏低。安全不是“用了就行”，而是需要持续运营、迭代的系统工程。
现在我们的攻防技术，已经可以通过智能风控、用户分层策略，在不影响大多数用户体验的前提下对高风险行为进行管控。此外，应急处置机制必须健全。
镜相工作室：有专家指出，此次事件核心是“攻击自动化”与“防御人工化”的不对称对抗。在你看来，要构建有效的AI自动化防御体系，最关键的是需要训练AI识别哪些新型、隐蔽的攻击模式？
卢圣龙：不同的AI应用场景需要训练不同的模型，比如风控审核是内容安全模型，内容安全的对抗通常为攻击者在违规图像中添加人类肉眼无法察觉的微小扰动，技术上通常叫做噪声，这可能会导致传统的深度学习模型出现误判，然而针对于传统的网络安全攻击手法，则应该从攻击手段，内部的自动化告警、研判、处置等角度去构建。
镜相工作室：如今，AI技术被黑灰产广泛应用，你如何看待这一变化？
卢圣龙：攻击确实门槛在降低，但防守技术也在进步。AI可以用于攻击，也可用于风控模型的训练和异常识别。真正的差距不在于技术，而在于资源和优先级——攻击方可以集中力量打一个点，防守方则要守护整个面。长期来看，还是一个企业安全系统资源持续投入的问题。
镜相工作室：这次事件会对行业带来哪些影响？
卢圣龙：这次事件的影响是非常大的。现在，《网络安全法》、《数据安全法》、《个人信息保护法》以及有关部门的一系列内容管理规定，正在压实平台的主体责任。有关部门可能会加强对企业安全履职情况的检查，平台也会更重视风控系统的冗余和高可用设计。
从个人角度，我现在最关注两点：一是此次事故的最终原因能否透明公开，二是平台是否会从根本上调整业务与安全的权重。如果只是技术修复而机制不变，类似问题可能还会发生。"