代理客户端是钓鱼攻击的重灾区:它天然经手你的全部流量,又常被杀毒软件误报,用户对「报毒」习以为常——这给了二次打包者可乘之机。花五分钟学会验货,比中招后重装系统划算。

对比官方 GitHub 发布与可疑镜像站,并用 certutil 校验 SHA256
来源正确 + 哈希一致,两道关都过才算安全

唯一的官方源头

Clash Verge Rev 的官方发布渠道只有一个:GitHub 仓库 clash-verge-rev/clash-verge-rev 的 Releases 页面。本站下载按钮也全部直链到那里,不经过任何中转。判断一个下载链接是否官方,看最终下载域名是不是 github.com 或其对象存储域名(objects.githubusercontent.com)。

钓鱼站的典型特征

  • 要你付费或注册——Clash Verge 是免费软件,任何收费下载都是假的;
  • 捆绑「加速器」「浏览器」——官方安装包没有任何捆绑;
  • 版本号异常——高于 GitHub 最新版的「抢先版」必假;
  • 下载文件名不对——官方 Windows 包严格形如 Clash.Verge_2.5.1_x64-setup.exe
  • 域名模仿——clash-verge-win.top 这类域名配上原版界面截图,最具迷惑性。

两分钟哈希校验

GitHub Releases 页面每个文件都能查到官方 SHA256 值(部分版本直接附带 .sha256 文件或在发布说明中列出)。本地算出你下载文件的哈希对比:

Windows

certutil -hashfile Clash.Verge_2.5.1_x64-setup.exe SHA256

macOS / Linux

shasum -a 256 Clash.Verge_2.5.1_x64.dmg
sha256sum Clash.Verge_2.5.1_amd64.deb

输出的 64 位十六进制串与官方值完全一致才算通过。差一个字符都说明文件被改过或没下完整。

关于杀毒报毒,说句公道话

官方安装包也可能被个别引擎误报——代理内核的流量转发行为和恶意软件的特征有重叠,属于行业通病。判断逻辑应该是:来源 + 哈希都验证过 → 大概率误报,添加信任即可;来源不明 → 报不报毒都不该运行。顺序不能反:不是「杀毒没报就安全」。

日常习惯建议

  1. 把本站或 GitHub Releases 收藏进书签,不走搜索引擎找下载;
  2. 更新只用应用内更新或书签渠道,见升级教程
  3. 给朋友分享时发 GitHub 链接,不转发来路不明的安装包文件;
  4. 已经从可疑渠道装过的:卸载(彻底清理)、全盘杀毒、修改重要账户密码,再从官方渠道重装。