安全观察 — Clash Verge观察

🚨 高危警告 — Clash for Windows 安全风险：CFW 自 2023年11月删库停更后，不再接收安全更新。已知问题包括：① 无更新通道，无法推送安全补丁；② 旧版 Electron 存在已知 CVE 漏洞；③ 第三方"魔改版"横行，部分植入后门；④ 核心依赖 Clash 内核已归档。综合评估：安全等级高危，强烈建议迁移。

安全维度对比

从开源审计、权限需求、数据隐私三个核心维度评估

安全维度	Clash Verge Rev	ClashX Pro	Clash N	Clash for Windows
源码开放	✓ MIT	✓ GPL	✓ MIT	✗ 已删库
持续更新	✓ 活跃	✗ 放缓	✓ 偶发	✗ 停更2年+
安全补丁	✓ 及时	✗ 滞后	✓ 一般	✗ 无
数据收集	✓ 零收集	✓ 零收集	✓ 零收集	✗ 无法确认
网络权限	✓ 仅代理	✓ 仅代理	✓ 仅代理	✗ 含遥测
Electron 安全	不适用 (Tauri)	不适用 (原生)	不适用 (.NET)	✗ 旧版 Chromium
可复现构建	✓ 支持	✗ 不支持	✗ 不支持	✗ 不可用
综合安全评级	⭐ A	⭐ B+	⭐ B	⚠ D

安全深度观察

重点关注的安全议题

🔓

开源 ≠ 自动安全

开源是安全的基础条件，但不是充分条件。Clash Verge Rev 虽然开源，但真正保障安全的是：活跃的社区审计、可复现构建、及时的安全响应。我们追踪每次 commit 和 issue。

☠️

CFW 魔改版风险

CFW 停更后，网上出现大量"增强版""优化版"，部分版本被安全研究者发现植入后门、窃取订阅链接。我们强烈建议：不要使用任何来源不明的 CFW 修改版。

🔑

订阅链接安全

所有 Clash 客户端都需要读取订阅链接。Clash Verge Rev 仅在本地处理订阅数据，不经过任何第三方服务器。但部分在线订阅转换工具可能记录你的配置信息。

📋

权限最小化

Clash Verge Rev 仅申请必要的网络代理权限，不需要文件系统全盘访问、不需要通讯录/定位等无关权限。Tauri 框架的安全沙箱进一步限制了 WebView 的权限范围。

🛡️ 安全观察结论

在安全维度上，Clash Verge Rev 是当前最值得信赖的选择。开源 + 活跃更新 + 可复现构建，三重保障缺一不可。CFW 的安全风险是真实且严重的。

查看安全迁移建议 →

安全是底线，不容妥协

安全维度对比

安全深度观察

🛡️ 安全观察结论