文丨鏡相工作室 馬舒葉

編輯丨周近嶼

作為網(wǎng)絡(luò)安全與風(fēng)控機(jī)制的資深從業(yè)者，盧圣龍比絕大多數(shù)人更早地得知了快手直播事故。

12月22日，剛過晚上10點，他所在的網(wǎng)絡(luò)安全行業(yè)的內(nèi)部群聊開始陸續(xù)彈出截圖——快手直播界面中出現(xiàn)了一些明顯違規(guī)的內(nèi)容。隨后，在快手自己的應(yīng)急響應(yīng)中心群里也出現(xiàn)了同樣的消息。盧圣龍和業(yè)內(nèi)技術(shù)專家們猜測著是否是某個審核模塊“臨時掛掉”。但隨著截圖、錄屏越來越多，傳播范圍迅速擴(kuò)大，他才意識到：這不是一次簡單的技術(shù)故障。

當(dāng)晚，快手大量直播間同時出現(xiàn)涉黃、低俗和血腥暴力內(nèi)容，部分直播間觀看人數(shù)近10萬。截圖與視頻如病毒般在各社交平臺和群組擴(kuò)散。在經(jīng)歷限流、封禁后，快手最終以直接下架直播入口的形式，才控制住態(tài)勢。直播功能在零點45分左右基本恢復(fù)。

整個過程持續(xù)了約兩小時?？焓蛛S即發(fā)布公告，稱“遭到黑灰產(chǎn)攻擊”。

盧圣龍在網(wǎng)絡(luò)安全領(lǐng)域從業(yè)13年，目前是一家網(wǎng)絡(luò)安全公司安全攻防實驗室的負(fù)責(zé)人，工作之一是作為授權(quán)黑客，測試一些單位或公司的網(wǎng)絡(luò)安全。

他說，事故發(fā)生之后，業(yè)內(nèi)討論焦點并不在于攻擊本身，而在于快手的風(fēng)控系統(tǒng)為何被擊穿，以及在約兩小時的異常窗口期里，平臺為何沒能迅速切換至應(yīng)急狀態(tài)?！斑@個bug的產(chǎn)生有可能是因為算法故障，也有可能是風(fēng)控算法在進(jìn)行灰度更新，或是企業(yè)用于故障隔離和快速恢復(fù)的內(nèi)部服務(wù)高可用架構(gòu)有缺陷。從發(fā)生到完全處置，快手用了近兩小時，這個響應(yīng)時間偏長，說明他們可能在應(yīng)急處置流程、故障感知和切換機(jī)制上存在短板?！?/p>

在盧圣龍眼中，這場風(fēng)波像一面鏡子，照出了平臺業(yè)務(wù)增長與安全投入之間的長期博弈，以及整個互聯(lián)網(wǎng)行業(yè)在狂奔中留下的安全隱患。

“從事發(fā)到完全處置花了兩小時，時間太長了，是有問題的”

鏡相工作室：你最初是怎么得知“快手直播間事故”的？

盧圣龍：我是在幾個網(wǎng)絡(luò)安全論壇的群里看到的?？焓肿约阂步艘粋€“應(yīng)急響應(yīng)中心”的群，用來和外部安全研究人員溝通漏洞信息。

那天晚上大概10點左右，這些群里開始有人說快手的審核風(fēng)控平臺好像掛掉了。一開始大家沒往“攻擊”上想，都以為是內(nèi)部故障。

鏡相工作室：所以一開始并不認(rèn)為是黑客攻擊？

盧圣龍：對。如果是典型的黑客攻擊，通常以拒絕服務(wù)（注：如DDoS攻擊，一種網(wǎng)絡(luò)攻擊，通過大規(guī)模互聯(lián)網(wǎng)流量淹沒目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為），或者隱匿入侵控制為主。比如DDoS攻擊，有可觀測的流量差異，平臺一般會明確說明攻擊類型，那種攻擊往往是為了讓服務(wù)癱瘓，而不是精準(zhǔn)繞過風(fēng)控審核后大量開啟非法直播。

所以，業(yè)內(nèi)更傾向于討論，是否是快手的風(fēng)控系統(tǒng)本身出了問題——可能是算法失效，也可能是風(fēng)控系統(tǒng)在灰度更新，或者臨時出了bug。而且晚上10點是直播高峰，系統(tǒng)壓力大，可能正是脆弱的時候。

鏡相工作室：你如何看待快手的處置過程？

盧圣龍：從事發(fā)到完全處置花了兩個小時，這個時間太長了。這至少說明（快手）內(nèi)部高可用架構(gòu)和應(yīng)急響應(yīng)機(jī)制有問題。

對于快手這樣體量的平臺，核心風(fēng)控系統(tǒng)失效，理論上應(yīng)該有秒級監(jiān)控告警。理想的應(yīng)急響應(yīng)鏈路應(yīng)該是：風(fēng)控失效 → 秒級告警 → 業(yè)務(wù)自動切入人工審核隊列或嚴(yán)格限流模式 → 安全與運維團(tuán)隊緊急處置/修復(fù) → 系統(tǒng)恢復(fù)。

從結(jié)果倒推，長達(dá)兩個小時的處置時長，說明漏洞要么沒被發(fā)現(xiàn)，要么是告警沒響應(yīng)，要么是應(yīng)急切換機(jī)制沒生效。

正常來說，如果風(fēng)控系統(tǒng)掛掉，業(yè)務(wù)側(cè)也可以啟動人工審核攔截不合規(guī)的直播申請。現(xiàn)在從結(jié)果倒推，本應(yīng)啟用的人工審核攔截沒有發(fā)揮出應(yīng)有的效果。這還有可能與架構(gòu)設(shè)計有關(guān)，當(dāng)業(yè)務(wù)的優(yōu)先級高于安全，平臺為了保障業(yè)務(wù)連續(xù)，在風(fēng)控失效時，業(yè)務(wù)系統(tǒng)為了不中斷服務(wù)會默認(rèn)放行內(nèi)容。

這件事情影響太大了，事件傳播得也非常快。但到目前為止，真正的原因還沒有定論，各種分析也都不夠準(zhǔn)確。

具體的原因，快手應(yīng)該很快會有更詳細(xì)的報告。這類涉及公共內(nèi)容安全的事件，有關(guān)部門通常會要求企業(yè)提交詳細(xì)報告，公眾也有權(quán)知道到底發(fā)生了什么。目前可能還在內(nèi)部調(diào)查和溝通階段。

鏡相工作室： 平臺在這類事件中可能要承擔(dān)什么責(zé)任？

盧圣龍：如果最終被認(rèn)定為網(wǎng)絡(luò)安全事件，平臺可能面臨違反《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》的處罰，包括罰款、業(yè)務(wù)整改，甚至?xí)和７?wù)。如果涉及用戶數(shù)據(jù)泄露，還會觸犯《個人信息保護(hù)法》。此外，內(nèi)容安全主體責(zé)任履行不到位，平臺也可能被約談、要求整改。

黑灰產(chǎn)不一定是“盜號”，更可能是“用號”

鏡相工作室：多家媒體報道稱，當(dāng)晚有上萬個賬號進(jìn)行違規(guī)直播。根據(jù)目前的信息，可以初步判斷這些賬號來源是什么嗎？

盧圣龍：目前沒有證據(jù)表明這些賬號來自普通用戶被盜。更可能的情況是，這些賬號屬于黑灰產(chǎn)手中的“庫存號”。如果真是黑灰產(chǎn)攻擊風(fēng)控平臺，其實不需要大家想象中那種“千萬級”的巨量沖擊。關(guān)鍵在于攻擊點要精準(zhǔn)。

鏡相工作室：也就是說，不一定是“盜號”，更可能是“用號”？

盧圣龍：對。很多平臺存在大量被批量注冊或收購的賬號，它們平時可能處于靜默狀態(tài)，一旦風(fēng)控出現(xiàn)漏洞，就會被集中啟用。

鏡相工作室：和過去互聯(lián)網(wǎng)大廠的數(shù)據(jù)泄露事件相比，這次事故有什么不同？

盧圣龍：這個事情要分兩個方面去看。第一，如果按照快手所說的，風(fēng)控平臺或業(yè)務(wù)被攻擊，那和我們?nèi)粘Ｌ幚淼陌咐龥]什么不同。

從快手本次事件中用到的技術(shù)來說，在安全圈內(nèi)不算"新的攻擊手法"，但它們被組合起來針對直播平臺的特定業(yè)務(wù)邏輯（如高并發(fā)的審核機(jī)制）進(jìn)行了精準(zhǔn)打擊，從而造成了巨大的破壞。

第二，被攻擊之后的黑產(chǎn)的一系列行為，比如大量涉黃直播出現(xiàn)，就和單純的數(shù)據(jù)泄露有比較明顯的差異。

一般的數(shù)據(jù)泄露，攻擊者的目的比較明確，可能想拿到主機(jī)里的信息，商業(yè)泄密，或者挖礦、勒索、數(shù)據(jù)竊取?，F(xiàn)在看來，快手這次的攻擊者，目的可能是為了大量開設(shè)直播，里面可能會有一些導(dǎo)流的情況，掛一些鏈接，利用系統(tǒng)漏洞牟利。

鏡相工作室：快手發(fā)布公告稱，此次事故是遭到黑灰產(chǎn)攻擊。黑灰產(chǎn)產(chǎn)業(yè)鏈?zhǔn)侨绾芜\作的？

盧圣龍：黑灰產(chǎn)已經(jīng)形成了聯(lián)系緊密的上中下游分工。如果是有組織的黑灰產(chǎn)行動，上游是工具開發(fā)者、驗證碼平臺、數(shù)據(jù)販賣者。他們提供自動化腳本，可以繞過風(fēng)控。中游是“號販子”。他們收購、注冊、養(yǎng)護(hù)大量平臺賬號，并根據(jù)粉絲數(shù)、活躍度進(jìn)行分級定價，就像一個“賬號期貨市場”，給攻擊供應(yīng)大量實名或非實名的賬號。下游是攻擊的執(zhí)行者。他們租賃或購買工具與賬號，在風(fēng)控失效的時間窗口內(nèi)集中開播，目的是引流、詐騙或惡意推廣。

而且，這種攻擊成本并不高，但回報可能很大。利用群控系統(tǒng)和廉價的“僵尸號”，即便絕大多數(shù)賬號被封，只要有極少量存活并成功引流，收益即可覆蓋成本。

鏡相工作室：隨著技術(shù)的發(fā)展，企業(yè)目前面臨的黑灰產(chǎn)攻擊有哪些變化嗎？

盧圣龍：一方面，黑灰產(chǎn)的作惡門檻越來越低。有些黑產(chǎn)團(tuán)隊已經(jīng)在使用AI做數(shù)據(jù)的關(guān)聯(lián)和分析。比如通過AI打標(biāo)簽、出詐騙劇本。如果黑產(chǎn)團(tuán)隊有你的人臉信息，和其他足夠多的數(shù)據(jù)，可以生成足夠逼真的視頻或音頻詐騙。

另一方面，黑灰產(chǎn)的危害程度和影響范圍也越來越大。比如通過直播，短時間內(nèi)就能影響到上千甚至上萬人。

而且，本質(zhì)上攻防對抗就是成本對抗。作為攻擊者的黑產(chǎn)愿意投入資源，可以買到大量的賬號，可以通過買驗證碼平臺，繞過系統(tǒng)的監(jiān)控，批量用虛假身份注冊賬號。而對于防守的企業(yè)來說，資源是固定的。如果黑產(chǎn)的投入比企業(yè)安全防護(hù)高很多倍，系統(tǒng)是可以被攻破的。

安全不應(yīng)是“可妥協(xié)的成本”

鏡相工作室：從行業(yè)角度，“快手直播事故”有什么值得反思的地方？

盧圣龍：對企業(yè)來說，風(fēng)險是共性的。快手的問題不是孤例，它反映出國內(nèi)企業(yè)一個長期存在的問題：安全是成本中心，而非利潤中心。在財務(wù)報表上，安全團(tuán)隊的投入是純支出。它不直接帶來新增用戶、提升活躍、增加營收。因此，在資源分配、技術(shù)立項、乃至公司話語權(quán)上，安全部門常常處于弱勢。表現(xiàn)在人上，很多公司安全團(tuán)隊人力緊張，要負(fù)責(zé)多個安全領(lǐng)域，很難做深做透。

在業(yè)務(wù)壓力下，安全常被視為“可以暫時讓步”的部分。很多公司的安全建設(shè)是“合規(guī)驅(qū)動”和“事件驅(qū)動”的。不出事，預(yù)算緊張，優(yōu)先級靠后；出了事，才會短暫重視，追加投入。這種循環(huán)導(dǎo)致安全建設(shè)缺乏前瞻性和體系性。

鏡相工作室：對于企業(yè)來說，安全部門的理想投入比例應(yīng)該是怎樣的？

盧圣龍：這很難給出一個統(tǒng)一的數(shù)字，但它應(yīng)當(dāng)與業(yè)務(wù)規(guī)模、風(fēng)險等級匹配。目前國內(nèi)企業(yè)在安全上的IT投入占比，相比業(yè)務(wù)系統(tǒng)投入仍然偏低。安全不是“用了就行”，而是需要持續(xù)運營、迭代的系統(tǒng)工程。

現(xiàn)在我們的攻防技術(shù)，已經(jīng)可以通過智能風(fēng)控、用戶分層策略，在不影響大多數(shù)用戶體驗的前提下對高風(fēng)險行為進(jìn)行管控。此外，應(yīng)急處置機(jī)制必須健全。

鏡相工作室：有專家指出，此次事件核心是“攻擊自動化”與“防御人工化”的不對稱對抗。在你看來，要構(gòu)建有效的AI自動化防御體系，最關(guān)鍵的是需要訓(xùn)練AI識別哪些新型、隱蔽的攻擊模式？

盧圣龍：不同的AI應(yīng)用場景需要訓(xùn)練不同的模型，比如風(fēng)控審核是內(nèi)容安全模型，內(nèi)容安全的對抗通常為攻擊者在違規(guī)圖像中添加人類肉眼無法察覺的微小擾動，技術(shù)上通常叫做噪聲，這可能會導(dǎo)致傳統(tǒng)的深度學(xué)習(xí)模型出現(xiàn)誤判，然而針對于傳統(tǒng)的網(wǎng)絡(luò)安全攻擊手法，則應(yīng)該從攻擊手段，內(nèi)部的自動化告警、研判、處置等角度去構(gòu)建。

鏡相工作室：如今，AI技術(shù)被黑灰產(chǎn)廣泛應(yīng)用，你如何看待這一變化？

盧圣龍：攻擊確實門檻在降低，但防守技術(shù)也在進(jìn)步。AI可以用于攻擊，也可用于風(fēng)控模型的訓(xùn)練和異常識別。真正的差距不在于技術(shù)，而在于資源和優(yōu)先級——攻擊方可以集中力量打一個點，防守方則要守護(hù)整個面。長期來看，還是一個企業(yè)安全系統(tǒng)資源持續(xù)投入的問題。

鏡相工作室：這次事件會對行業(yè)帶來哪些影響？

盧圣龍：這次事件的影響是非常大的。現(xiàn)在，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》以及有關(guān)部門的一系列內(nèi)容管理規(guī)定，正在壓實平臺的主體責(zé)任。有關(guān)部門可能會加強(qiáng)對企業(yè)安全履職情況的檢查，平臺也會更重視風(fēng)控系統(tǒng)的冗余和高可用設(shè)計。

從個人角度，我現(xiàn)在最關(guān)注兩點：一是此次事故的最終原因能否透明公開，二是平臺是否會從根本上調(diào)整業(yè)務(wù)與安全的權(quán)重。如果只是技術(shù)修復(fù)而機(jī)制不變，類似問題可能還會發(fā)生。