新研究展示一种探测 XTLS VLESS REALITY 的手段
XTLS VLESS REALITY 是一种网络代理协议,由开发者 RPRX 设计并实现,运行在 Xray 软件之上。它的核心目标是:让代理服务器看起来和一个正常的网站服务器毫无区别,从而规避网络审查工具的检测与封锁。
为了实现这一目标,VLESS REALITY 采用了两项关键技术:
关键问题:一台服务器,两个 TLS Stack
然而,上述设计引入了一个结构性隐患:
利用该阈值差异,探测流程如下:
结合 VLESS REALITY 的回落机制,探测工具可以在同一端口上执行两次探测:
为何难以修复?
最直觉的修复方案是将 XTLS REALITY 的 maxUselessRecords 改为 32。但这引发了一个新问题——Caddy 困境:
许多用户将 VLESS REALITY 寄生在自建的 Caddy Web Server 上。Caddy 同样使用 Go 编写,其 TLS Stack 同样是 Go 的 crypto/tls,阈值同样为 16。此时若 REALITY 将自身阈值改为 32,反而制造了新的差异。
本文所解读的探测方法证明了一个简洁而深刻的事实:
正在使用 XTLS VLESS REALITY 的用户应当意识到:
参考:杀死那只鹦鹉 —— 「白话文」讲解一种探测 XTLS VLESS REALITY 的手段
XTLS VLESS REALITY 是一种网络代理协议,由开发者 RPRX 设计并实现,运行在 Xray 软件之上。它的核心目标是:让代理服务器看起来和一个正常的网站服务器毫无区别,从而规避网络审查工具的检测与封锁。
为了实现这一目标,VLESS REALITY 采用了两项关键技术:
回落(Fallback)机制:当 Xray 服务端判断入站连接并非来自合法的 VLESS 客户端时,它不会拒绝连接或返回错误,而是将流量原封不动地转发给一个预先配置的「源网站」。对外部观察者而言,这台服务器的行为与真实的网站服务器别无二致。
TLS 握手寄生:VLESS REALITY 不自行完成 TLS 握手,而是将握手过程交给「源网站」的服务器来执行(即所谓「偷别人的 TLS 握手」),以此获得与真实网站完全一致的 TLS 握手特征。
关键问题:一台服务器,两个 TLS Stack
然而,上述设计引入了一个结构性隐患:
同一台服务器、同一个端口上,实际存在两个不同的 TLS Stack——Xray 自身基于 Go crypto/tls 的 TLS Stack 和源网站的 TLS Stack。
当合法 VLESS 客户端连接时,Xray 会用自己的 TLS Stack 处理后续通信;当非 VLESS 流量触发回落时,源网站的 TLS Stack 负责处理。
只要这两个 TLS Stack 的行为存在任何可被观测的差异,整个伪装体系就会暴露。
然而,几乎所有主流 Web 服务器使用的 TLS Stack 阈值为 32,而 Go 标准库的阈值为 16。
XTLS VLESS REALITY 的实现代码直接复制自 Go 的 crypto/tls 标准库。在这次复制过程中,开发者 RPRX 原封不动地保留了 maxUselessRecords = 16 的默认值。
这一行为的讽刺之处在于:RPRX 自己曾经在 uTLS 库中指出过完全相同的指纹风险,并亲自提交 Pull Request 将 uTLS 的 maxUselessRecords 从 16 修改为 32(refraction-networking/utls PR #171)。也就是说,他清楚地知道这一差异可能成为指纹识别的依据,却在实现自己的核心协议时犯下了完全相同的错误。
原文作者将这种行为定义为以一种近乎圣徒般的虔诚、机械地复制代码,而不理解其中每一个参数的安全含义。
利用该阈值差异,探测流程如下:
向目标服务器发起 TLS 握手,并在握手过程中持续插入 ChangeCipherSpec 记录
记录目标服务器在接收到第几个 ChangeCipherSpec 记录后终止握手
若在第 17 个记录时终止(阈值 16+1)→ 目标服务器使用 Go crypto/tls 或 XTLS REALITY
若在第 33 个记录时终止(阈值 32+1)→ 目标服务器使用 OpenSSL/BoringSSL
结合 VLESS REALITY 的回落机制,探测工具可以在同一端口上执行两次探测:
第一次:重放合法 VLESS REALITY 的 Client Hello → Xray 自身处理 → 观察到阈值 16
第二次:发送篡改后的 Client Hello → 触发回落 → 源网站处理 → 观察到阈值 32
为何难以修复?
最直觉的修复方案是将 XTLS REALITY 的 maxUselessRecords 改为 32。但这引发了一个新问题——Caddy 困境:
许多用户将 VLESS REALITY 寄生在自建的 Caddy Web Server 上。Caddy 同样使用 Go 编写,其 TLS Stack 同样是 Go 的 crypto/tls,阈值同样为 16。此时若 REALITY 将自身阈值改为 32,反而制造了新的差异。
本文所解读的探测方法证明了一个简洁而深刻的事实:
协议的安全性上限,取决于实现者对底层协议栈行为细节的认知深度。
XTLS VLESS REALITY 的伪装并非在密码学层面被攻破,而是因为开发者在搬运 Go 标准库代码时忽略了一个常量值的含义。这种「货物崇拜式」的工程实践,使得一个宣称能「解决 TLS 安全性问题」的协议,暴露于一种朴素到甚至平庸的探测手段之下。
正在使用 XTLS VLESS REALITY 的用户应当意识到:
该协议并非无懈可击,已存在可行的主动探测手段
探测方法实现简单,不需要大量算力,具备大规模部署的可行性
结合被动识别手段(SNI/IP 不匹配、流量聚合异常),探测效率可以进一步提升
在 Xray 的实现代码中,类似的行为差异可能还有更多尚未被公开
参考:杀死那只鹦鹉 —— 「白话文」讲解一种探测 XTLS VLESS REALITY 的手段
W6(2.2-2.8)国内手机销量数据
国联民生电子
苹果:销量120.0万部,苹果手机26年年初至今销量567.1万部,同比+13.1%。
小米:销量92.7万部,小米手机26年年初至今销量418.0万部,同比-35.5%。
华为:销量120.4万部,华为手机26年年初至今销量553.7万部,同比-20.9%。
荣耀:销量84.3万部,荣耀手机26年年初至今销量391.9万部,同比-18.3%。
国联民生电子
OpenClaw 创作者宣布加入 OpenAI,项目将转入基金会继续开源发展
OpenClaw 项目发起人近日在个人博客宣布将加入 OpenAI,从事通用 AI 智能体相关工作,目标是打造普通用户也能轻松使用的智能代理工具。其个人表示,与 OpenAI 合作有助于安全地利用最新模型与前沿研究,加速产品落地。同时,他计划将 OpenClaw 迁移至基金会架构,保持项目开源、独立与社区驱动的发展方向,继续支持多家模型与公司的接入,并由 OpenAI 提供赞助,保障社区长期运作与技术延续。
来源:Peter Steinberger
OpenClaw 项目发起人近日在个人博客宣布将加入 OpenAI,从事通用 AI 智能体相关工作,目标是打造普通用户也能轻松使用的智能代理工具。其个人表示,与 OpenAI 合作有助于安全地利用最新模型与前沿研究,加速产品落地。同时,他计划将 OpenClaw 迁移至基金会架构,保持项目开源、独立与社区驱动的发展方向,继续支持多家模型与公司的接入,并由 OpenAI 提供赞助,保障社区长期运作与技术延续。
来源:Peter Steinberger
2 月 15 日消息,据日本业内人士爆料,受全球 NAND 闪存供应持续紧缺、AI 算力需求激增影响,苹果已正式同意日本存储大厂铠侠的涨价条款:2026 年第一季度起,NAND 闪存采购价直接翻倍(涨幅 100%),并确立按季度重新议价的灵活合作模式。
财新:当地时间2月14日,美国国防部更新“中国军事企业清单”(Chinese Military Companies List,CMC),将机器人公司宇树、激光雷达公司速腾聚创、互联网公司阿里巴巴和百度、汽车公司比亚迪和蔚来、面板龙头公司京东方、光伏组件龙头公司晶澳科技、天合光能等纳入其中。
同时,一批中国公司被撤下清单,包括长江存储和长鑫存储等。
值得注意的是,当地时间2月13日,美国国防部曾公开了上述CMC名单,但在发布后迅速将这版清单撤下,目前又重新将该清单发布出来,前后内容并没有变化。
同时,一批中国公司被撤下清单,包括长江存储和长鑫存储等。
值得注意的是,当地时间2月13日,美国国防部曾公开了上述CMC名单,但在发布后迅速将这版清单撤下,目前又重新将该清单发布出来,前后内容并没有变化。
字节跳动AI视频工具引发好莱坞行业争议
近日,一段由字节跳动旗下AI视频生成平台Seedance 2.0制作的布拉德·皮特与汤姆·克鲁斯对打的视频在网络疯传。该视频的逼真效果和便捷生成方式,立即在好莱坞引发了关于版权侵犯和行业未来的激烈讨论。
美国电影协会(MPA)公开指责该平台大规模使用受版权保护的作品,要求其立即停止侵权行为。与此同时,包括编剧和制片人在内的众多从业者表达了对AI技术可能取代创意工作的深切忧虑,这也成为演员工会等组织在行业谈判中持续关注的核心议题。
来源:南华早报
近日,一段由字节跳动旗下AI视频生成平台Seedance 2.0制作的布拉德·皮特与汤姆·克鲁斯对打的视频在网络疯传。该视频的逼真效果和便捷生成方式,立即在好莱坞引发了关于版权侵犯和行业未来的激烈讨论。
美国电影协会(MPA)公开指责该平台大规模使用受版权保护的作品,要求其立即停止侵权行为。与此同时,包括编剧和制片人在内的众多从业者表达了对AI技术可能取代创意工作的深切忧虑,这也成为演员工会等组织在行业谈判中持续关注的核心议题。
来源:南华早报
消息人士称,美国预计最早将于周五将包括阿里巴巴在内的多家公司列入五角大楼涉嫌协助中国军方的公司名单。
截至目前,名单中的中国公司包括:阿里巴巴、比亚迪、百度、中远海运、华为、蔚来等。
来源:路透社 / Walter Bloomberg
截至目前,名单中的中国公司包括:阿里巴巴、比亚迪、百度、中远海运、华为、蔚来等。
来源:路透社 / Walter Bloomberg
伊朗抗议活动被镇压后 美国偷送星链终端
美国官员称,在上月伊朗政权残酷镇压示威活动后,特朗普政府秘密向伊朗运送了数千台星链终端。此举旨在德黑兰方面压制互联网接入后,让异见人士能继续保持在线。一月,伊朗当局通过杀害数千名抗议者和大幅切断互联网连接的方式,镇压了日益高涨的动荡。此后,美国向该国走私了约6000套这些卫星互联网套件,这是美国首次直接向伊朗运送星链。美国官员称,美国国务院在早些时候购买了近7000台星链终端,其中大部分是在一月购买的,以帮助反政权活动人士规避伊朗的断网。此前,特朗普政府任命的高级官员决定将伊朗境内其他一些互联网自由倡议的部分资金转用于购买星链终端。
美国官员称,在上月伊朗政权残酷镇压示威活动后,特朗普政府秘密向伊朗运送了数千台星链终端。此举旨在德黑兰方面压制互联网接入后,让异见人士能继续保持在线。一月,伊朗当局通过杀害数千名抗议者和大幅切断互联网连接的方式,镇压了日益高涨的动荡。此后,美国向该国走私了约6000套这些卫星互联网套件,这是美国首次直接向伊朗运送星链。美国官员称,美国国务院在早些时候购买了近7000台星链终端,其中大部分是在一月购买的,以帮助反政权活动人士规避伊朗的断网。此前,特朗普政府任命的高级官员决定将伊朗境内其他一些互联网自由倡议的部分资金转用于购买星链终端。
OpenAI指控DeepSeek使用蒸馏复制其模型
OpenAI在周四发给美国众议院中美战略竞争特别委员会的备忘录中表示,“我们观察到与DeepSeek员工相关的账户正在开发绕过OpenAI访问限制和访问模型的方法。”
“我们还知道,DeepSeek的员工开发了代码,以程序化的方式访问美国的AI模型并获取输出结果进行提炼。”
来源:外汇交易员
OpenAI在周四发给美国众议院中美战略竞争特别委员会的备忘录中表示,“我们观察到与DeepSeek员工相关的账户正在开发绕过OpenAI访问限制和访问模型的方法。”
“我们还知道,DeepSeek的员工开发了代码,以程序化的方式访问美国的AI模型并获取输出结果进行提炼。”
来源:外汇交易员
20260212复盘
宏观:
一个由美国财政部高级官员组成的团队上周前往北京,为即将举行的高层会谈做准备。
人工智能:
智谱GLM-5亮相,上调GLM Coding Plan价格,涨幅30%起并取消首购优惠。Coding Plan连续包月、连续包季、连续包年套餐全部售罄。
卖方:移动1.55亿中标深圳光明大装置算力平台,核心条款写着"拒绝进口”,昇腾成唯一算力底座。
半导体:
AI需求推动日本存储巨头铠侠全年利润指引高出共识60%。
财联社2月13日电,美国人工智能初创企业Anthropic完成G轮300亿美元融资,投后估值达3800亿美元。本轮融资参与方包括光速创投(Lightspeed Venture Partners)、门洛风险投资(Menlo Ventures)、摩根士丹利投资(Morgan Stanley Investment)、NX1资本(NX1 Capital)及卡塔尔投资局(Qatar Investment Authority)。
OpenAI将在ChatGPT中停用一批旧模型
2026年2月13日起,在ChatGPT中正式停用GPT-4o、GPT-4.1、GPT-4.1 mini以及OpenAI o4-mini。此次调整与此前已宣布退役的GPT-5(Instant与Thinking版本)同步进行。OpenAI表示,API接口目前不受影响,仅限于ChatGPT产品内的模型选择。
OpenAI
2026年2月13日起,在ChatGPT中正式停用GPT-4o、GPT-4.1、GPT-4.1 mini以及OpenAI o4-mini。此次调整与此前已宣布退役的GPT-5(Instant与Thinking版本)同步进行。OpenAI表示,API接口目前不受影响,仅限于ChatGPT产品内的模型选择。
OpenAI
