import AffiliateButton from ’../../components/AffiliateButton.tsx’;
紧急安全通告
安全团队提醒:Clash for Windows (CFW) 被发现存在严重的 XSS 漏洞,攻击者可通过恶意配置文件实现远程代码执行 (RCE)。
这意味着:只要你下载并使用了来源不明的节点配置,黑客就能完全接管你的电脑。
⚠️ 受影响版本:0.19.9 以下的所有版本 ✅ 安全版本:0.19.9 及以上,或使用 推荐的安全客户端
漏洞概述
| 关键信息 | 详情 |
|---|---|
| 漏洞类型 | XSS 导致远程代码执行 (RCE) |
| 危害等级 | 🔴 极高 |
| 受影响版本 | CFW 0.19.9 以下所有版本 |
| 攻击媒介 | 恶意 Clash 配置文件 (.yaml) |
| 攻击者权限 | 当前用户完整权限 |
漏洞危害
一旦触发漏洞,攻击者可以:
- 执行任意系统命令
- 远程控制你的电脑
- 窃取私人文件和数据
- 监控你的屏幕和摄像头
- 强制关机、注销系统
你是否受影响?
需要立即行动的用户
- ❌ 使用 Clash for Windows 0.19.8 及以下版本
- ❌ 从不明来源下载过配置文件/订阅链接
- ❌ 使用免费节点池或不可信的机场服务
相对安全的用户
- ✅ 使用 CFW 0.19.9 或更高版本
- ✅ 使用官方推荐的客户端
- ✅ 使用 Clash Verge Rev 等安全替代品
- ✅ 只使用可信来源的配置文件
漏洞攻击演示
以下是安全研究人员演示的攻击场景,展示了漏洞的严重性:
攻击阶段一:概念验证
最基础的攻击——弹出计算器,证明代码已被执行:
漏洞 PoC:JavaScript 代码成功在用户电脑上执行
攻击阶段二:信息窃取
攻击者获取你的本地网络配置信息:
攻击者可以窃取 IP 地址、网络配置等隐私数据
攻击阶段三:系统控制
攻击者可以远程执行系统命令,如强制注销:
漏洞的破坏性:攻击者可远程关机、注销、重启
攻击阶段四:完全接管
最严重的后果——电脑被植入木马,完全被远程控制:
攻击者通过 Kali Linux 建立远程 Shell,完全控制受害者电脑
攻击者可以像操作自己电脑一样操作你的电脑
为什么这个漏洞如此危险?
1. 隐蔽性极强
恶意代码被隐藏在配置文件的节点名称或脚本字段中,普通用户几乎无法通过肉眼识别。
# 看起来正常的节点配置,实际可能包含恶意代码
proxies:
- name: "美国节点<script>恶意代码</script>"
type: vmess
...
2. 攻击来源难以防范
- 机场订阅:不良机场主可以在下发的配置中植入漏洞代码
- 免费节点:网上分享的免费配置文件可能被恶意篡改
- 社群分享:即使是朋友分享的配置也可能被感染
3. 老版本全线沦陷
测试显示,即使是三年前的老版本同样存在此漏洞。大量用户因为”能用就不更新”的习惯,长期暴露在风险中。
立即采取的防护措施
方案一:更新 Clash for Windows(如果你坚持使用)
确保版本号 ≥ 0.19.9
设置 → 关于 → 检查版本号
方案二:迁移到安全替代品(推荐)
推荐的安全客户端:
| 平台 | 推荐客户端 | 安全性 |
|---|---|---|
| Windows | Clash Verge Rev | ✅ 积极维护,安全更新及时 |
| macOS | Clash Verge Rev / ClashX Meta | ✅ 开源社区审计 |
| Android | Clash Meta for Android | ✅ 官方维护 |
| iOS | Shadowrocket / Stash | ✅ App Store 审核 |
方案三:审计配置文件
如果必须使用外部配置:
- 用文本编辑器打开
.yaml文件 - 搜索
<script>、javascript:、eval(等关键词 - 检查节点名称是否包含异常字符
- 只使用可信来源的订阅链接
用户安全保障
选择可靠的服务商,你可以享受以下安全保障:
| 安全特性 | 说明 |
|---|---|
| 官方客户端 | 经过安全审计,无已知漏洞 |
| 可信配置 | 订阅链接由官方服务器下发,无第三方篡改风险 |
| 及时更新 | 发现安全问题第一时间推送修复 |
| 技术支持 | 遇到安全问题可获得专业协助 |
常见问题
Q: 我用的是 Mac/Linux 版 Clash,也受影响吗?
A: 本漏洞主要影响 Clash for Windows (CFW)。其他平台的 Clash 客户端(如 ClashX、Clash Meta)实现方式不同,需要单独评估。但建议所有用户都保持客户端更新。
Q: 我已经中招了怎么办?
A:
- 立即断开网络连接
- 全盘杀毒扫描
- 检查是否有异常进程或启动项
- 考虑重装系统(最彻底)
- 更改所有重要账号密码
Q: 怎么判断配置文件是否安全?
A:
- 只使用官方或可信机场的订阅链接
- 避免使用来源不明的免费节点
- 导入前用文本编辑器检查内容
- 使用有安全保障的服务
总结
Clash for Windows 的这个漏洞再次提醒我们:网络安全无小事。
- ❌ 不要使用来源不明的配置文件
- ❌ 不要长期不更新客户端
- ✅ 选择有安全保障的服务商
- ✅ 定期检查和更新软件版本
延伸阅读
- 客户端下载中心 - 获取安全的官方客户端
- 网络原理入门:DNS 与数据传输
- Cloudflare CDN 与 BBR 优化原理
信息来源
本文基于安全研究视频整理:
- 原视频:YouTube 观看
- 整理发布:安全团队
本文包含推广链接,详情请参阅 Affiliate 声明。