行业科普
快手直播事故,传统风控为何被黑产击溃?
12 月 22 日晚,快手直播遭遇大规模黑产攻击。
超过 1.7 万个僵尸账号同时开播,海量违规内容绕过审核系统,露骨画面、擦边直播及诱导转账的“密码房福利”层出不穷。多名网友描述"点开直播全是黄色内容",甚至调侃“十个直播七个在放片”,部分直播间观众达数十万人。用户举报按钮形同虚设,即便违规内容下架,新违规账号却持续涌现。
最终迫使快手在 2 小时后,采取全平台截断直播的极端措施终止这场充斥淫秽与血腥的 P0 级事故。12 月 23 日快手股价盘中一度下探超 5.7%,较前一交易日蒸发约 164 亿港元。
这一夜,被不少从业者称为快手的“至暗时刻”。
但更值得警惕的是:
这并非某一家平台的偶发事故,而是整个行业风控体系的一次系统性失效暴露。
风控安全,不进则退。在 AI 驱动的自动化攻击面前,依赖 IP 黑名单、静态规则、预计算指标、事后审核的传统风控体系,已经难以支撑现代互联网业务的安全底座。
一、黑产击溃传统风控范式
快手 12.22 直播事故,真正击穿的,不是审核能力,而是风控范式。
从公开信息来看,快手并非没有健全的审核机制与风控体系,而是风控系统在黑产攻击方式升级后力不从心。
传统平台风控体系,大多建立在以下逻辑之上:
将账号、设备、IP、行为等关联指标提前计算
将结果写入 Redis / ClickHouse
通过规则引擎 + 阈值判断做风险决策
这套“预计算 + 静态规则”的体系,在过去多年行之有效,但在黑产迈入自动化攻击后便暴露出致命短板。
1. 关联关系是“活的”,而预计算是“死的”
黑产并非单账号违规,而是:
多账号
多设备
多 IP
实时变换组合
同步协同攻击
关联网络在分钟级甚至秒级重构,而 T+1 或分钟级预计算指标天然滞后。
2. 单点看似正常,整体却是异常
在传统风控视角下:
每个账号行为“合规”
每个 IP 访问“正常”
每次开播“合法”
真正的风险隐藏在多跳关系与群体结构中,而不是任何一个孤立指标。
3. 高并发场景下,规则系统被压垮
当 1.7 万账号同时触发检测时:
AI 识别模型排队
人工复核失效
规则系统被放大流量拖垮
最终只能通过“全量截断”这种业务级熔断止血。
这场事故揭示了一个残酷现实:黑产的攻击是动态、协同、结构化的,而传统风控系统仍停留在静态、割裂、事后响应的阶段。
二、风控的本质在于“关系”
无论是直播黑产、支付欺诈,还是稳定币洗钱,本质都不是某个行为异常,而是:一张不断变化的关系网络,在协同掩盖真实意图。
一个设备控制上百账号
多个地址将资金归集至同一黑洞
多个看似无关的行为,构成完整攻击链路
这类问题,天然属于图问题。而这,正是传统预计算风控体系无法解决的核心原因。
在传统风控系统中,引入图数据库后,风险被可视化地展示为图谱。
NebulaGraph x 奇富科技(原 360 数科)群体关系图
上图是奇富科技生产环境的一个图,不同颜色的点分别表示不同的意义,红色是风险点,黄色是疑似风险,灰色是普通用户。
三、NebulaGraph 的实时图风控
1. NebulaGraph
NebulaGraph 是一款开源分布式图数据库,擅长处理千亿节点万亿条边的超大数据集,同时保持毫秒级查询延时的图数据库解决方案。
在百亿级数据量下的测试中:
传统关系型数据库:4 度关联查询,154 秒
NebulaGraph:4 度关联查询,0.14 秒
性能提升 1000 倍以上,这正是实时风控在高并发场景下的基础能力。
目前,NebulaGraph 已在以下场景中落地:
金融反欺诈与反洗钱
Web3 合规与资金追踪
交易平台黑产识别
实时风险图谱构建
NebulaGraph 的用户包括 Airwallex、众安保险、BlockSec、得物、携程集团等,构建了从千亿节点到万亿关系的实时风控图系统。
2.实时动态风控体系
以 NebulaGraph 为代表的实时图风控体系,并不是在优化规则,而是在重构风控的底层认知方式。
(1)不再预计算关系,而是实时构图
用户、账号、设备、IP、交易、行为
实时写入图中
关系随业务发生即时变化
风控系统不再依赖算好的结果,而是直接读取真实世界的当前关系状态。
(2) 多跳穿透,识别群体型风险
通过图查询和图算法,可以在毫秒级完成:
N 度关联穿透
账号–设备–IP–账号的闭环识别
团伙结构、控制中心、扩散路径识别
从「看单点」升级为「看结构」。
(3)实时规则 + 图算法双引擎
实时规则:
“5 分钟内同一设备登录 10+ 账号”
“同一 IP 批量开播”
图算法:
社区发现
中心性分析
异常子图识别
规则负责即时拦截,图算法负责结构洞察。
(4)在快手中引入图数据库
如果在快手的场景中,引入实时图风控会发生什么?
在类似直播平台的业务中,实时图风控可以前置到多个关键入口:
注册
登录
开播
内容发布
当黑产设备开始批量注册或登录时:
关联关系已在图中显现
风险结构在规模化前被识别
攻击在“发起之前”即被阻断
这意味着:
审核系统不再被洪水冲垮
业务无需通过全量截断自伤止血
风控从被动救火转为主动拦截
四、结语
这次事故,并不是开始,也不会是结束。随着 AI 攻击工具、自动化脚本、Web3 与跨境业务的普及,黑产只会更加动态、隐蔽、系统化。
企业必须重新认知风控:
风控不是一套产品,而是一种能力
防线不是静态规则,而是动态关系网络
只有具备实时构图、动态感知、结构洞察能力的图风控体系,才能在这场长期对抗中掌握主动权。
NebulaGraph 将持续作为实时风控的底座,帮助企业在复杂关系网络中构建真正可进化的风控能力。
迎接动态风险,从拥抱实时图开始。
🔥推荐阅读
NebulaGraph 在 Airwallex 跨境金融风控的应用
