代理客戶端是釣魚攻擊的重災區:它天然經手你的全部流量,又常被防毒軟體誤報,使用者對「報毒」習以為常——這給了二次打包者可乘之機。花五分鐘學會驗貨,比中招後重裝系統划算。
唯一的官方源頭
Clash Verge Rev 的官方釋出渠道只有一個:GitHub 倉庫 clash-verge-rev/clash-verge-rev 的 Releases 頁面。本站下載按鈕也全部直鏈到那裡,不經過任何中轉。判斷一個下載連結是否官方,看最終下載域名是不是 github.com 或其物件儲存域名(objects.githubusercontent.com)。
釣魚站的典型特徵
- 要你付費或註冊——Clash Verge 是免費軟體,任何收費下載都是假的;
- 捆綁「加速器」「瀏覽器」——官方安裝包沒有任何捆綁;
- 版本號異常——高於 GitHub 最新版的「搶先版」必假;
- 下載檔名不對——官方 Windows 包嚴格形如
Clash.Verge_2.5.1_x64-setup.exe; - 域名模仿——clash-verge-win.top 這類域名配上原版介面截圖,最具迷惑性。
兩分鐘雜湊校驗
GitHub Releases 頁面每個檔案都能查到官方 SHA256 值(部分版本直接附帶 .sha256 檔案或在釋出說明中列出)。本地算出你下載檔案的雜湊對比:
Windows
certutil -hashfile Clash.Verge_2.5.1_x64-setup.exe SHA256
macOS / Linux
shasum -a 256 Clash.Verge_2.5.1_x64.dmg
sha256sum Clash.Verge_2.5.1_amd64.deb
輸出的 64 位十六進位制串與官方值完全一致才算通過。差一個字元都說明檔案被改過或沒下完整。
關於防毒報毒,說句公道話
官方安裝包也可能被個別引擎誤報——代理核心的流量轉發行為和惡意軟體的特徵有重疊,屬於行業通病。判斷邏輯應該是:來源 + 雜湊都驗證過 → 大機率誤報,新增信任即可;來源不明 → 報不報毒都不該執行。順序不能反:不是「防毒沒報就安全」。