研究员揭露VLESS漏洞 | AI生成和翻译
问题: GitHub 仓库 Anonymous376c1d0cf28/VLESS-cracker 是什么?
回答:
概述
这是一个由匿名网络安全专业人士创建的 GitHub 仓库,声称发现了 VLESS/XTLS/REALITY 代理协议中的一个严重漏洞——该协议是一种主要用于中国绕过防火长城(GFW)的流行审查规避(类似 VPN)协议。
背景:什么是 VLESS/XTLS/REALITY?
VLESS、XTLS 和 REALITY 是由社区中一位被称为 RPRX 的人开发的一系列反审查代理协议。它们被中国用户广泛用于绕过互联网审查。RPRX 长期以来一直声称这些协议优于 Shadowsocks(SS)、Trojan、Hysteria2 等替代方案,并且在推广过程中非常活跃且激进。
该仓库声称的内容
匿名作者——一位自称自 2010 年左右活跃的网络安全专业人士——提出了几项严重的指控:
1. 一个致命的检测漏洞
作者声称他们在 不到 10 分钟 内发现了 VLESS/XTLS/REALITY 协议中的一个缺陷,该缺陷允许以 接近 100% 的准确率和极低的误报率 检测这些流量。这远比其他主流审查规避协议更糟糕,后者只能被 GFW 概率性检测到。
关键含义:如果某个协议的流量可以被精确定位,那么 用户的 IP 地址和物理位置也可以被精确定位——这是一个巨大的个人安全风险。
2. 对协议设计的技术批评
- 前向保密性:作者认为,RPRX 错误地将 TLS 继承的前向保密性呈现为 REALITY 的独特创新,而这实际上是所有基于 TLS 的协议(Trojan、Hysteria2 等)的标准属性。
- 混淆(“TLS in TLS”):RPRX 声称传统的 TLS 代理存在可检测的“TLS in TLS”模式。作者认为,这种特征在实际中太弱,无法作为可靠的检测信号使用,并且没有证据表明 GFW 实际上使用了它。
- 适得其反:作者认为,通过引入双栈 TLS 架构来解决这些“问题”,RPRX 意外地将一个弱的、概率性的指纹变成了一个 强的、确定性的指纹 ——使得 REALITY 更容易 被检测,而不是更难。
3. 社区和伦理批评
- RPRX 被指控多年来对其他协议开发者和项目进行激进的、恶意的攻击。
- RPRX 被指控通过捏造或夸大的威胁来散布对其他协议的恐惧,以推动用户使用他自己的协议。
- 作者还指出,RPRX 通过 NFT、代币和 VPN 供应商赞助实现了商业化。
- 这种行为被比作早期的“ShadowsocksR”时代,当时类似的模式导致原始 Shadowsocks 作者被当局询问。
最后通牒 / 披露时间线
作者发出了一个 3 天的最后通牒(截止时间:UTC+8,2026 年 5 月 11 日 15:00):
- 如果 RPRX 公开向开源社区道歉,并撤回过去不负责任的言论,作者将私下披露该漏洞,以便修复。
- 如果 RPRX 不道歉,作者将在此仓库 公开发布概念验证(PoC)攻击代码,该代码能够:
- 部署在路由器或 sidecar 网络节点上
- 在 不到 1 分钟 内识别 VLESS/REALITY 代理流量
- 提取 客户端和服务器的 IP 地址
作者还建议当前的 VLESS/REALITY 用户在此期间 立即迁移到其他协议。
总结评估
| 方面 | 详情 |
|---|---|
| 类型 | 漏洞披露 / 社区公开指责 |
| 目标 | VLESS/XTLS/REALITY 审查规避协议 |
| 声称的严重性 | 100% 流量检测准确率——对用户匿名性具有灾难性影响 |
| 当前状态 | 已发出最后通牒;PoC 尚未发布(截至 2026 年 5 月 9 日) |
| 作者 | 匿名网络安全研究员 |
重要说明
该仓库在政治和技术上都具有争议性。该漏洞 尚未经过第三方独立验证,目前也没有 PoC 代码发布。使用基于 VLESS/REALITY 代理的用户应密切关注此情况,并考虑作者关于评估替代协议的建议。
参考链接: