代理客戶端是釣魚攻擊的重災區:它天然經手你的全部流量,又常被防毒軟體誤報,使用者對「報毒」習以為常——這給了二次打包者可乘之機。花五分鐘學會驗貨,比中招後重裝系統划算。

對比官方 GitHub 釋出與可疑映象站,並用 certutil 校驗 SHA256
來源正確 + 雜湊一致,兩道關都過才算安全

唯一的官方源頭

Clash Verge Rev 的官方釋出渠道只有一個:GitHub 倉庫 clash-verge-rev/clash-verge-rev 的 Releases 頁面。本站下載按鈕也全部直鏈到那裡,不經過任何中轉。判斷一個下載連結是否官方,看最終下載域名是不是 github.com 或其物件儲存域名(objects.githubusercontent.com)。

釣魚站的典型特徵

  • 要你付費或註冊——Clash Verge 是免費軟體,任何收費下載都是假的;
  • 捆綁「加速器」「瀏覽器」——官方安裝包沒有任何捆綁;
  • 版本號異常——高於 GitHub 最新版的「搶先版」必假;
  • 下載檔名不對——官方 Windows 包嚴格形如 Clash.Verge_2.5.1_x64-setup.exe
  • 域名模仿——clash-verge-win.top 這類域名配上原版介面截圖,最具迷惑性。

兩分鐘雜湊校驗

GitHub Releases 頁面每個檔案都能查到官方 SHA256 值(部分版本直接附帶 .sha256 檔案或在釋出說明中列出)。本地算出你下載檔案的雜湊對比:

Windows

certutil -hashfile Clash.Verge_2.5.1_x64-setup.exe SHA256

macOS / Linux

shasum -a 256 Clash.Verge_2.5.1_x64.dmg
sha256sum Clash.Verge_2.5.1_amd64.deb

輸出的 64 位十六進位制串與官方值完全一致才算通過。差一個字元都說明檔案被改過或沒下完整。

關於防毒報毒,說句公道話

官方安裝包也可能被個別引擎誤報——代理核心的流量轉發行為和惡意軟體的特徵有重疊,屬於行業通病。判斷邏輯應該是:來源 + 雜湊都驗證過 → 大機率誤報,新增信任即可;來源不明 → 報不報毒都不該執行。順序不能反:不是「防毒沒報就安全」。

日常習慣建議

  1. 把本站或 GitHub Releases 收藏進書籤,不走搜尋引擎找下載;
  2. 更新只用應用內更新或書籤渠道,見升級教程
  3. 給朋友分享時發 GitHub 連結,不轉發來路不明的安裝包檔案;
  4. 已經從可疑渠道裝過的:解除安裝(徹底清理)、全盤防毒、修改重要賬戶密碼,再從官方渠道重灌。