8 月 12 日傍晚,当不少站长打开浏览器调试窗口时,发现所有从 cdn.bytedance.com 加载的 JS、CSS、字体文件全部返回 404。页面随之错乱,按钮失去交互,主题样式一夜“裸奔”。字节跳动在域名根目录挂出了一行极简公告:
“因黑产原因已下线,请不要再使用。”
一句话,为这条服务了数年的免费 CDN 画上句号,也给仍依赖它的无数个人博客、中小企业官网和开源主题带来了措手不及的“暴击”。
一、从“小范围抽风”到“全面停摆”
其实早在 2025 年 6 月,站长群里就陆续出现“字节 CDN 抽风”的吐槽:jQuery 还能拉下来,自家的图标字体却 404;今天某张背景图加载 5 秒超时,明天又神奇恢复。
彼时大家以为只是节点故障,官方会修。结果两个月过去,故障范围越来越大,字节最终选择直接拔网线——与其持续投入安全对抗,不如彻底关掉这项“纯公益”服务。
二、“黑产”究竟指什么?
官方公告只有冷冰冰的四个字,但圈内推测主要集中在两种可能:
- 流量劫持与恶意投毒
黑灰产利用公共 CDN 缓存机制,篡改前端资源插入暗链、挖矿脚本或钓鱼页面。由于 CDN 边缘节点众多,溯源、清洗成本极高。 - DDoS 勒索与流量滥用
高并发、大带宽的免费 CDN 天然适合被当作“子弹”——攻击者将海量恶意流量导向目标站点,事后勒索保护费。字节若持续兜底,就要为黑产买单。
无论真相是哪一种,“免费”与“无门槛”在中文互联网环境里,最终都容易被薅成一地羊毛。
三、连锁反应:那些一夜之间“裸奔”的网站
- 个人博客与开源主题
知名 Typecho 主题 Handsome 曾把 jQuery、Prism.js、Font Awesome 全部指向字节 CDN,如今站长要么改本地文件,要么紧急替换 cdnjs、jsDelivr 等备用源,否则代码高亮、评论区、夜间模式统统罢工。 - 中小企业官网
部分公司官网在上线时为了“省事”,全局引用了cdn.bytedance.com的 Vue、Element-UI。运维一觉醒来发现首页变成乱码列表,老板群里疯狂 @ 全员排查。 - SEO 与广告收入
页面长时间空白会触发搜索引擎降权;广告联盟也因加载异常暂停投放。对流量站来说,这直接关乎钱包。
四、“免费 CDN 依赖症”的集体反思
字节并不是第一家倒下的公共库。
七牛、360、百度、新浪 SAE……过去几年,国内免费 CDN 接连关停或限流,理由如出一辙:成本、合规、黑产。
这场持续的下线潮给开发者留下了三点教训:
- 不要把可托管在自己域名下的核心资源交给第三方。哪怕多花一点流量费,也要把主动权握在手里。
- 构建冗余方案。同时准备 2–3 个 CDN 源 + 本地兜底,一旦上游故障可无缝切换。
- 关注供应链安全。公共库投毒事件屡见不鲜,锁定版本、Subresource Integrity(SRI)校验不能省。
五、后字节时代,我们该用谁?
- 国际公共 CDN
cdnjs、jsDelivr、unpkg 目前仍正常,但国内访问质量参差,需做好节点测速与 fallback。 - 国内云厂商付费方案
阿里云 OSS + CDN、腾讯云 COS + CDN、华为云 OBS,按量计费价格低廉,且支持 HTTPS、回源、缓存刷新等完整功能。 - 本地化构建
Webpack/Vite 等构建工具直接打包到 dist,上传自己域名。虽然失去“免费全球加速”,但换来可控、安全、0 依赖。
六、写在最后
从新浪 SAE 到字节 CDN,中国互联网的“免费午餐”正一道道撤桌。
曾经我们享受巨头提供的流量红利,如今必须为“稳定”与“安全”付出成本。
也许这并不是坏事——当免费不再理所当然,开发者才会真正重视基础设施的投入与治理。
下一次再看到“某某公共库即将停止服务”的热搜时,希望我们已经学会把资源握在自己手里,而不是在 404 的夜里手忙脚乱。
