我们收到本篇文章引用的报告原作者 @acgdaily 反馈,指文章作者 sukka 冒用其团队名义,冒充团队成员。并称并无将漏洞提交到国内各大 DPI 厂商手中。 由于原作者 @acgdaily 可能有进一步的回复,因此本信息可能在后续会进一步更新
原作者声明如下,引用自作者转发的链接:
Sukka 剽窃他们的研究报告《杀死那只鹦鹉: 基于深度行为的指纹探测识别》,用春秋笔法佯称 “我们”,混淆视听,冒领+抢发了他人成果到自己的 blog 并洗稿成《杀死那只鹦鹉 —— 「白话文」讲解一种探测 XTLS VLESS REALITY 的手段》;3. 原作者澄清,发布该报告的
初衷只是为了向上游 golang 提 issue,过去、现在、将来都没兴趣趟灰产的浑水,更没兴趣参与到「 sukka 所谓的 “我们” 」去向华为、深信服打小报告。【且上游已解决该 issue(s)】
编辑认为,对于社区而言,当前最有价值的讨论方向是:在各种真实部署场景下(如 REALITY 直连回落至不同类型的源站、经由 Caddy 等 HTTP 服务器反代等),文中所述的探测手段是否均能稳定复现,以及修复 maxUselessRecords 后是否仍存在同类可利用的行为差异。在 PoC 已被验证并公开的情况下,归因与动机的争议可以并行讨论,但不应替代对技术细节的正面回应。
新研究展示一种探测 XTLS VLESS REALITY 的手段
XTLS VLESS REALITY 是一种网络代理协议,由开发者 RPRX 设计并实现,运行在 Xray 软件之上。它的核心目标是:让代理服务器看起来和一个正常的网站服务器毫无区别,从而规避网络审查工具的检测与封锁。
为了实现这一目标,VLESS REALITY 采用了两项关键技术:
回落(Fallback)机制:当 Xray 服务端判断入站连接并非来自合法的 VLESS 客户端时,它不会拒绝连接或返回错误,而是将流量原封不动地转发给一个预先配置的「源网站」。对外部观察者而言,这台服务器的行为与真实的网站服务器别无二致。
TLS 握手寄生:VLESS REALITY 不自行完成 TLS 握手,而是将握手过程交给「源网站」的服务器来执行(即所谓「偷别人的 TLS 握手」),以此获得与真实网站完全一致的 TLS 握手特征。
关键问题:一台服务器,两个 TLS Stack
然而,上述设计引入了一个结构性隐患:
同一台服务器、同一个端口上,实际存在两个不同的 TLS Stack——Xray 自身基于 Go crypto/tls 的 TLS Stack 和源网站的 TLS Stack。当合法 VLESS 客户端连接时,Xray 会用自己的 TLS Stack 处理后续通信;当非 VLESS 流量触发回落时,源网站的 TLS Stack 负责处理。
只要这两个 TLS Stack 的行为存在任何可被观测的差异,整个伪装体系就会暴露。
然而,几乎所有主流 Web 服务器使用的 TLS Stack 阈值为 32,而 Go 标准库的阈值为 16。
XTLS VLESS REALITY 的实现代码直接复制自 Go 的 crypto/tls 标准库。在这次复制过程中,开发者 RPRX 原封不动地保留了 maxUselessRecords = 16 的默认值。
这一行为的讽刺之处在于:RPRX 自己曾经在 uTLS 库中指出过完全相同的指纹风险,并亲自提交 Pull Request 将 uTLS 的 maxUselessRecords 从 16 修改为 32(refraction-networking/utls PR #171)。也就是说,他清楚地知道这一差异可能成为指纹识别的依据,却在实现自己的核心协议时犯下了完全相同的错误。
原文作者将这种行为定义为以一种近乎圣徒般的虔诚、机械地复制代码,而不理解其中每一个参数的安全含义。
利用该阈值差异,探测流程如下:
向目标服务器发起 TLS 握手,并在握手过程中持续插入 ChangeCipherSpec 记录
记录目标服务器在接收到第几个 ChangeCipherSpec 记录后终止握手
若在第 17 个记录时终止(阈值 16+1)→ 目标服务器使用 Go crypto/tls 或 XTLS REALITY
若在第 33 个记录时终止(阈值 32+1)→ 目标服务器使用 OpenSSL/BoringSSL
结合 VLESS REALITY 的回落机制,探测工具可以在同一端口上执行两次探测:
第一次:重放合法 VLESS REALITY 的 Client Hello → Xray 自身处理 → 观察到阈值 16
第二次:发送篡改后的 Client Hello → 触发回落 → 源网站处理 → 观察到阈值 32
为何难以修复?
最直觉的修复方案是将 XTLS REALITY 的 maxUselessRecords 改为 32。但这引发了一个新问题——Caddy 困境:
许多用户将 VLESS REALITY 寄生在自建的 Caddy Web Server 上。Caddy 同样使用 Go 编写,其 TLS Stack 同样是 Go 的 crypto/tls,阈值同样为 16。此时若 REALITY 将自身阈值改为 32,反而制造了新的差异。
本文所解读的探测方法证明了一个简洁而深刻的事实:
协议的安全性上限,取决于实现者对底层协议栈行为细节的认知深度。XTLS VLESS REALITY 的伪装并非在密码学层面被攻破,而是因为开发者在搬运 Go 标准库代码时忽略了一个常量值的含义。这种「货物崇拜式」的工程实践,使得一个宣称能「解决 TLS 安全性问题」的协议,暴露于一种朴素到甚至平庸的探测手段之下。
正在使用 XTLS VLESS REALITY 的用户应当意识到:
该协议并非无懈可击,已存在可行的主动探测手段
探测方法实现简单,不需要大量算力,具备大规模部署的可行性
结合被动识别手段(SNI/IP 不匹配、流量聚合异常),探测效率可以进一步提升
在 Xray 的实现代码中,类似的行为差异可能还有更多尚未被公开
参考:杀死那只鹦鹉 —— 「白话文」讲解一种探测 XTLS VLESS REALITY 的手段
岁末至,福气满。感谢各位老铁一直以来对 @DNSPODT 的支持!
祝大家在马年:
快马加鞭,好运连连;
心想事成,万事如意。
阿里巴巴开源全新一代大模型千问Qwen3.5-Plus,登顶全球最强开源模型。千问3.5实现了从纯文本模型到原生多模态模型的代际跃迁。千问3预训练在纯文本Tokens上进行,而千问3.5则基于视觉和文本混合token上预训练,并大幅新增中英文、多语言、STEM和推理等数据,让张开“眼睛”的大模型学会了更密集的世界知识和推理逻辑,以不到40%的参数量获得超万亿的Qwen3-Max基座模型的顶尖性能,在推理、编程、Agent智能体等全方位基准评估中均表现优异。
苹果:销量120.0万部,苹果手机26年年初至今销量567.1万部,同比+13.1%。小米:销量92.7万部,小米手机26年年初至今销量418.0万部,同比-35.5%。
华为:销量120.4万部,华为手机26年年初至今销量553.7万部,同比-20.9%。
荣耀:销量84.3万部,荣耀手机26年年初至今销量391.9万部,同比-18.3%。
国联民生电子
OpenClaw 创作者宣布加入 OpenAI,项目将转入基金会继续开源发展
OpenClaw 项目发起人近日在个人博客宣布将加入 OpenAI,从事通用 AI 智能体相关工作,目标是打造普通用户也能轻松使用的智能代理工具。其个人表示,与 OpenAI 合作有助于安全地利用最新模型与前沿研究,加速产品落地。同时,他计划将 OpenClaw 迁移至基金会架构,保持项目开源、独立与社区驱动的发展方向,继续支持多家模型与公司的接入,并由 OpenAI 提供赞助,保障社区长期运作与技术延续。
2 月 15 日消息,据日本业内人士爆料,受全球 NAND 闪存供应持续紧缺、AI 算力需求激增影响,苹果已正式同意日本存储大厂铠侠的涨价条款:2026 年第一季度起,NAND 闪存采购价直接翻倍(涨幅 100%),并确立按季度重新议价的灵活合作模式。
财新:当地时间2月14日,美国国防部更新“中国军事企业清单”(Chinese Military Companies List,CMC),将机器人公司宇树、激光雷达公司速腾聚创、互联网公司阿里巴巴和百度、汽车公司比亚迪和蔚来、面板龙头公司京东方、光伏组件龙头公司晶澳科技、天合光能等纳入其中。
同时,一批中国公司被撤下清单,包括长江存储和长鑫存储等。
值得注意的是,当地时间2月13日,美国国防部曾公开了上述CMC名单,但在发布后迅速将这版清单撤下,目前又重新将该清单发布出来,前后内容并没有变化。
据 Axios 报道,五角大楼正考虑终止与人工智能公司 Anthropic 的合作关系,原因是该公司坚持对军方使用其模型的方式设置一些限制。
来源:Axios
Telegraph
凤凰网|时薪3元,低于共享充电宝:被系统囚禁的环卫工人作者|吕银玲 编辑|王雯清 凌晨5点的山东临沂,气温0度,69岁的韩守义站在冷风里,鼻尖冻得通红。他从工服里拿出电子工牌,想测试那个传说中的“SOS”求救键,使劲摁了一下,停顿,又摁一下。无人应答。 没人告诉他这个功能该如何使用。但在看不见的某个地方,他正在成为大屏幕上闪烁的绿点。胸前这块质地轻薄的电子工牌,通过定位、电子围栏等技术,能实现对他工作轨迹、静止时长的全面监控。“绿点”不能长时间静止,这也意味着,他不能坐下来休息。 定位工牌是安全保障还是电子镣铐?争议中,凤凰网《风暴眼》在四座不同规…
苏丹北科尔多凡州苏德里地区一处市场2月15日晚遭无人机袭击,造成28人死亡、数十人受伤。民间机构“紧急律师倡议”说,市场内人员密集。预计死亡人数可能进一步上升。尚无任何组织宣称制造此次袭击。
近期,苏丹军方与快速支援部队在科尔多凡地区三个州的冲突升级,该地区已成为苏丹冲突新焦点。
(新华社)
美国罗得岛州波塔基特市一场青少年冰球比赛2月16日发生枪击事件,造成包括枪手在内的3人死亡,另有3人重伤。枪手疑似开枪自杀。事件可能由家庭纠纷导致,具体仍在调查中。
(美联社)
竹新社祝各位朋友新春愉快,马到成功!
伊朗外长阿拉格齐2月15日晚率领伊方外交和技术代表团前往瑞士日内瓦,将在17日与美方就核问题举行第二轮间接谈判。
伊朗副外长拉万希表示,伊朗方面提出稀释其60%浓缩铀的提议,表明其愿意做出妥协。“如果他们愿意讨论制裁问题,我们也准备讨论这个问题以及其他与我们核计划相关的问题”。拉万希还重申了伊朗拒绝与美方讨论其弹道导弹计划的立场。
以色列总理内塔尼亚胡15日重申,美国与伊朗若达成协议,必须解决以方关切,包括把所有浓缩铀转移出伊朗、确保伊朗不再具备铀浓缩能力等。特朗普据报曾告诉内塔尼亚胡,如果美国与伊朗无法达成协议,他将支持以色列空袭伊朗弹道导弹设施。
与此同时,伊朗革命卫队16日将在霍尔木兹海峡举行军演。国家电视台称,此次军演旨在为“潜在的安全和军事威胁”做好准备。
(新华社,法新社)
国投瑞银基金公司2月15日宣布,将向2月2日赎回白银LOF基金的个人投资者提供和解补偿。影响金额1000元以下的投资者(占比超九成)将全额赔付,以“最大限度保护中小投资者”。
该基金跟踪上期所的白银期货。2月2日,沪银跌停,结算价跌幅为17%,大量投资者赎回该产品。随后基金公司公告,沪银价格不能反映当日真实价值,经托管人同意,当日估值改参照不设跌停的国际银价(即下跌31.5%),以“避免先赎占优”,引起群体投诉。
(新华社)
中国对英国加拿大免签,自2月17日起施行至12月31日。持普通护照来华经商、旅游观光、探亲访友、交流访问、过境,可免签停留30天。
(新华社,图:维基共享媒体)
江苏东海,石榴街道东安村一烟花爆竹经营部2月15日14:30爆燃,造成8死,2人轻微灼伤。16时明火扑灭。爆炸原因是“附近村民个人燃放烟花不当”导致。
(东海发布)
美国国务卿鲁比奥2月14日在慕尼黑安全会议发表演讲称,跨大西洋关系的终结“既不是我们的目标,也不是我们的愿望”。对于美国人来说,“我们的家或许在西半球,但我们永远是欧洲的孩子”。“对于美国和欧洲而言,我们属于彼此”。
鲁比奥的发言相较于一年前万斯对欧洲价值观的批评而言更令欧洲盟友安心。但鲁比奥仍明确表达了特朗普政府的立场,谴责对气候问题的追捧,强调移民的威胁,呼吁欧洲加强自我防卫。
欧盟委员会主席冯德莱恩等欧洲领导人在会上表达了欧洲需更加独立的主张。英国首相斯塔默表示,英国必须重新与欧洲建立更紧密的联系。
泽连斯基在慕安会上抱怨乌克兰被“过于频繁”地要求做出让步,指责俄罗斯试图通过更换谈判代表来拖延。泽连斯基呼吁盟友通过制裁和供应武器来敦促俄罗斯达成和平。
(路透社 1,2,美联社)
日本大阪道顿堀14日深夜发生伤人事件,3名17岁少年被刺伤,其中1人死亡,嫌犯逃离现场。
大阪警方15日以涉嫌杀人的罪名将21岁嫌犯缉拿归案。嫌犯与遇袭的3名少年相识,案发前双方似乎有发生争执,警方正做进一步调查。
中国驻大阪总领事馆15日通报此案,提醒领区中国公民加强安全防范,并再次提醒中国公民近期避免前往日本。
(NHK,每日放送,中国驻大阪总领事馆)
🎆HAPPY NEW YEAR 2️⃣0️⃣2️⃣6️⃣🎆
💰财源滚滚来
🎁万事皆顺遂
📈账户总飘红
祝大家:大吉大利,新春快乐呀! 🥂
🗣️ 10美元硬件跑 AI?PicoClaw:内存
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。
