快手的程序员不会拔线吗

快手，这是直播世界的最新技术，复盘来了。我刚看完一年大佬和火龙安全的复盘报告，发现真相远比我想的更可怕。这不是简单的黑客攻击，而是一场 ai 对 人类的降维打击。 先带大家复盘一下那晚的治安时刻，十二月二十二号下午六点到十点，平台只是零星出现违规内容，现在看来，那是攻击者在探路，在调下参数，在测试平台的底线。那到了晚上十点整，流量最高峰访问接收到了统一指定，成千上万个新账号在同一时间集体开播，瞬间涉黄涉黄视频铺天盖地， 有些违规直播间在线人物甚至逼近十万家用户，随便一刷全是脏内容，举报根本没用。那直到二十三点，平台彻底扛不住了，直接垄断全站关闭直播。那很多人问，审核员睡着了吗？封号封不过来吗？ 专家们的结论是，黑客打了一套致命的组合拳。那第一拳绕过大门三幺零和奇安信分析，黑客大概率挖到了推流接口的漏洞，他们根本没有走实名认证和人脸识别这道正门， 就像穿了隐身衣，直接把脏视频塞进直播流里。但这还不是最狠的，最狠的是第二拳打烂你的枪。这也验证了我之前的猜测，封禁接口被打挂了。那大家想象一下，上万个违规直播间同时冒头快手的 ai 审核系统，警报瞬间拉满， 但是系统想执行封禁这个动作，因为请求量太大了，封禁接口直接被挤爆了。这就好比丧尸围城啊，你手里的枪虽然能用，但是丧尸太多太快，直接把你的枪管都给冲烂了。这就是专家说的业务逻辑， ddos！ 那 火龙的原话非常扎心，识别但不处置，我知道你有问题，但我干不掉你。 为什么我开头说真相可怕？因为火龙指出，这是一次攻击工具的代际眼镜。那以前是脚本自动化，现在是 ai agent， 它具备了拟人化的操作能力。 i b 被封了，它自动切换代理，遇到验证码，它自动调用 o、 c、 r 模型识别，甚至可能出现 mute agent 多智能体，协助一 波账号负责送死，探路测出，风控预制，实时同步给控制中心，控制中心在指挥主力军调整策略，精准屠房 黑客用 ai 光速造假，平台还在靠人工归宿封号，这是一场 ai 自动化对人肉的屠杀。那随着 ai 让攻击成本无限降低， 防守方的成本却在指数上升，那知识时间告诉我们，防守方如果还没有充分利用 ai， 未来将无险可守。以下内容基于三六零、奇安信、火龙等大佬的推测，真实情况以官方通报为准。那有兴趣我会第一时间汇报给大家。那大家认可这个分析吗？评论区见那大家认可这个分析吗？评论区见。那关注我，我是面试的路上，就是在记录吃瓜的路上！

直播全是不良内容啊，风控策略毫无作用，最终只能通过拔网线来解决问题。这是昨天晚上快手出现了一个 s s s s 级的生产事故， 说实话啊，就是我觉得啊，我一个已经做了五年直播记录的人来讲啊，就是看到互联网一线大厂出现这样的问题， 简直觉得不可思议。我先分析技术啊，给大家讲清楚一个直播最基本的炼炉和分红技术啊。首先如果你要开播的话，必须要到一个开播接口，这个接口呢会作为教学啊，说法就是判断一下你有没有资格来进行开播，如果这样成功的话，会返回一个视频的推流地址，然后主播端呢，就可以把你 采集到的视频流啊，直接往这个地址推送，观众可以拿到这个拉流地址开始渲染播放，这样的话构成了一个最基本的直播的链路。那直播风控一般会怎么做呢？会有一个风控的拉流系统，这个系统呢会每隔 n 秒钟啊，会截取一帧画面，然后就判断这个画面是否有一些 不良的因素。这个识别能力呢，基本上是靠一些 ai 的 小模型，就是不断的去给他投喂这个图片，来训练这个分工的效果。那这次攻击他最蹊跷的地方是什么呢？首先啊，根据网安的要求，直播是必须要进行实名认证的， 那么这次攻击是如何去绕开实名认证的呢？这里可能会有三种情况，第一种是开播接口，他压根就没有去做实名判断，但是呢，这种草台班子是不可能会发生的。第二种就是 黑产团队通过某种方式去完成了实名认证，但是这个呢，就更加恐怖了，因为实名认证需要去做活体校验啊，判断人证是一致的，如果说某些黑产团队或者黑客团队，他已经攻破了这样一种实名认证的话， 那我想说啊，全国所有的互联网大厂，你们的实名认证接口，人脸识别已经完全不安全了，需要马上去做技术升级。第三种就是黑产团队掌握了大规模的已经认证的那种僵尸号，但是啊，无论是哪一种，就证明呢， 当前的互联网安全形势完全不容乐观。第二个问题是，快手的直播风控能力为啥没起作用？网上呢？都在传说什么啊？关播接口或者封禁接口暴露在外网，被人家攻击了，所以不起作用了，这个说法是完全站不住脚的。 为什么？我前面说了，风控是一个后台程序，它是一个大规模的图片检测基群，一旦检测到敏感信息，它会直接断流，封禁这一路直播流。 这里啊，我只能说以前的互联网安全形势没有足够给大家敲响警钟啊，从没有出现如此大规模的攻击情况，同时这次的攻击也是对快手的风控能力的一次大规模的真实压测。那么快手并没有在此次考试中交出一份比较满意的答卷，因为它这些检测速度， 检测能力完全就跟不上黑产团队的开播频率，开播速度。那这次快手事件会给我们什么启示呢？所有的互联网大厂，但凡是你们具备直播能力的，一定要马上开展自查， 就判断你们开播接口是否存在各种各样的漏洞，可能导致不经过实名认证就可以开播了？第二就是重视风控建设，风控他不是一句空话，你的平台流量越大，那你所需要去承担的这个责任也就越大，能力也需要更大， 去丰富。自己的底层能力建设会远比去做一些花里胡哨的功能有意义太多了，因为在真正考试的时候，只有你的基础好，你 才能考出高分。第三，你的一些风控能力，其他一些能力需要去经历一场真正的大规模的压测，来确定你自己的能力边界到底在什么地方，我们能支撑多少 t p s？ 能支撑多少 q p s。 最后啊，我想说，就这一次的事件，你完全不能说 快手团队没有技术，没有能力，只不过说他们从来就没有应对过这样真正的大规模的攻击情况。其实快手团队他们的技术能力应该在全国属于潜力的，毕竟他们也真正经历过像春晚这样级别的亚瑟。 但是呢，还是回到我经常讲那句话啊，对 c 端我们一定要充满敬畏心，这个事件我相信已经给所有的互联网大厂敲响了一次非常非常响亮的警钟，也同时会促使我们国内的一些团队去把风控能力建设的更好更强大。

都听说了吧，昨天晚上快手变快播了，今天有个粉丝叫我说一说昨天晚上快播的时间啊，昨天晚上十点左右，快手大面积的沦陷了，就直播流里面全是色，什么情什么会的东西，很多很多， 然后我也去啊看了一下，今天大概看了一下这个情况，我从程序员的角度从底层给你分析一下为什么造成了快手这是一个大范围的攻击啊，他首先是一个这个黑客啊，控制了一点七万个肉鸡账号， 直接就一点七万个是个傀儡账号，他可以直接去操控的。然后呢，还有可能是这个黑客组织，他直接用那种技术直接绕过这个快手的一个审核，直接啊就跳过了他们实名认证，直接进行开播， 他没有说，而且这个开播速度很快的，都是好秒级的，他不用去像我们啊真实用户去，哎，点击 app 去打开，去干嘛干嘛的，他是直接获取推流地址，直接是好秒级的，直接进开播一点七万个账号， 你就算快手你分你都来不及分，太快了。而且底层是直接绕过他的审核机制，你即使后面快手他发现了以后啊，然后去进行审核，进行拉黑，但是 他的速度是非常快的，你审核员的速度你根本根本就来不及分，你分你的速度他小于他产生的速度，所以导致这个昨天的色什么情啊，那个 那个东西啊，大面积的泛滥成灾。所以这个事情也就告诉我们现在网络时代，攻击这个东西是无时无刻啊存在的这个东西啊， 而且没有一个说真正安全的网络环境，因为我是搞程序的，我知道它里面很多漏洞啊，你，你没办法做到百分之百分之百的安全的，很多时候它就是你黑客攻击或者有一个什么样的漏洞，一来，哎，你这个平台瞬间垮掉，昨天啊，快手就是一个最好的例子，所以说以后 我们希望就是我们国内的这些网络平台应该加固安全，保护用户的这个隐私，不要到时候出现啊。像类似的一个情况，这个东西太恐怖了啊，有一天万一攻击这个车啊，攻击这个哪里攻击这里的，那会造成大面积的损伤。

史上最严重的故障，快手被爆破了，变成了快播，相信很多人就算没赶上也应该都听说了，我以前看到这种故障啊，都是吃瓜看戏，事后臭皮匠的分析两句故障原因，显得自己很专业，但是这次啊，实在是太猛了，已经突破了所有的故障级别了，是一场有组织有预谋的围攻啊。这个时候去聊什么网络安全呀，智能审核呀，故障恢复啊，通通都没有意义。 我看到有很多人说啊，就怪他们技术烂，说公司不重视风控的结果。但是这么大规模的故障，要实现有上万个账号可以同时开播，并且直播违禁的内容还不被封禁，说明至少登录体系身份认证、直播推流、用户举报、内容审核安全。风控权限瘫痪了， 相信内部也都在权限的告警电话，估计都打疯了，最后实在没有办法了，直接把直播服务的网线给拔了。但是讲到俩，快手也算是国内第一梯队的了，这种攻击他们都扛不住，我相信国内能扛得住的公司不超过十家。 有人说有商喜从天降，我认为恰恰相反，这件事情敲响的是整个内容行业的警钟，后面监管只会更严，审核也会更重，这不是一家公司的失手，而是对整个内容风控行业的拷问。

快手城快播了啊，这是前两天快手爆出的惊天大挂，今天呢，我们不聊架构设计，来聊一场刚刚发生的啊，教科书级别的网络攻防实战。 那么事件的起因呢？是二十二号晚上的十点多啊，快手平台的直播功能遭遇到了大规模的所谓的黑灰场的攻击， 据说是注册了几万个账号啊，攻击者通过操控这些啊，僵尸账号啊，利用自动化的脚本同时发起了直播来集中推送大量的违规内容啊，整个平台的分布体系基本处于这个瘫痪状态啊，最后没有办法，只能拔网线了。 嗯，很多伙伴不理解啊，我也想不通啊，为什么这么大的平台，不管是注册体系，健全体系还是分布体系，好像都形同虚设了啊，任由黑灰厂缓缓了啊，一个小时， 我们这里必须得歪歪一下啊，做一回这个事后诸葛亮对吧，来分析一下黑灰厂当时到底是怎么攻破的。 那么有部门后来分析啊，在攻击前期呢，海外就有一大批的账号在请求注册， 其实这些就是黑灰铲在做提前的僵尸账号的啊储备，而且呢，这些账号都能够绕过快手的实名认证， 具体怎么做到的啊，我猜测可能呢，对境外的某些实名认证的平台做了攻击，所以呢，不管你是用什么账号的实名认证啊啊，提交过去呢，都是认证通过的状态，所以这是第一步啊，攻击了海外的实名认证体系。 然后呢，是第二步啊，就开始寻找系统的漏洞啊。这里可能比较奇怪的是黑微场啊，他并没有选择一些像短视频呀，像这个订单结算啊这些啊，所谓的核心模块，而是对于直播板块发起了攻击。 那么对于短视频来讲呢啊，你提交上去之后，平台肯定要做非常严格的审核，而且还有后期的人工接入审核，不通过肯定就发布不上去了。 但是直播不一样啊，因为直播它需要实时的推流，更多的呢，它是依赖于 ai 审核，什么 ocr 审核啊，再加上人工审核啊，它有一定的这个时效性的要求。必然呢，它的分供的体系啊，就要弱很多， 所以就可以攻击他的直播推流上的漏洞啊。确实，这一招呢，非常的聪明，那为什么这些引以为傲的蜂窝体系这么容易被攻破呢？毕竟呢，也承受过充完几亿的流量，对吧，按理说不应该， 那么这里呢，其实就涉及到了业务逻辑的 ddos 攻击啊，注意哦，这里强调的是业务逻辑的 ddos 啊，通过群控脚本指挥上万的账号同步来行动，制造瞬时的红风。 但是这里呢，最致命的一击在于，它用了高频的请求来攻击内容的分界执行接口啊，耗尽了其后端的处理资源，让分控的系统陷入瘫痪 啊，这种就是传说中的业务逻辑 ddos 啊，比耗尽你的贷款啊，耗尽你的一些所谓的这些网关的，这个传统的 ddos 攻击更加隐蔽，风控系统一旦瘫痪了啊，人工审核肯定跟不上啊，自然后面只能拔网线了。 所以整个分析下来，现在的攻击啊，已经从传统的啊，网络层呀，应用层啊，延伸到了业务逻辑层。 攻击者呢，他不再只是说把你家的门踹开，而是在研究怎么去耗尽你家的水，耗尽你家的电，让你的生活没有办法进行下去 啊，你把门焊死也没有用，这也就给我们了下一代的风控系统呢，提出了更高的要求和挑战。好了，本期视频呢就是这些，如果你对本期内容呢有任何疑问，欢迎大家评论区给我联系大家。