被广泛用于模拟真实浏览器指纹的 uTLS 库存在一个严重的指纹泄露漏洞,进而对主流的代理工具构成了严重威胁。

该漏洞会导致 uTLS 在模仿浏览器时,有 50% 的概率创造出一个矛盾的 TLS 指纹:即外部连接声称优先使用 AES
加密,但其内部 ECH 功能却使用了 ChaCha20。这种矛盾的指纹组合在真实浏览器中绝不会出现,因此可以被立即识别。此漏洞存在于 2023年12月至2025年10月之间的所有 uTLS 版本。

依赖 uTLS 进行指纹模拟的代理工具均受此影响。例如,在 Xray 中 uTLS 功能 fingerprint 默认设置为 chrome,这会直接导致指纹泄露。用户需要手动将其修改为 firefox 或其他浏览器指纹以作规避。

此漏洞可被 GF*W 等审查系统利用,从而极大地提高识别效率。虽然单个连接的泄露概率是50%,但由于代理工具会持续产生大量连接,审查系统识别出用户流量的成功率几乎可以达到100%。比较讽刺的是,如果你不使用 uTLS 伪装,GFW反而更难识别出代理流量,因此当前如果没有必要请勿开启 uTLS 伪装。

消息来源:信号旗

https://github.com/refraction-networking/utls/commit/24bd1e05a788c1add7f3037f4532ea552b2cee07

目前sing-box表示已修复该问题。
https://github.com/refraction-networking/utls/pull/375
https://github.com/SagerNet/sing-box/releases/tag/v1.12.10
https://github.com/SagerNet/sing-box/releases/tag/v1.13.0-alpha.22
mihomo也表示修复该问题。

https://github.com/MetaCubeX/mihomo/releases/tag/v1.19.15
https://github.com/MetaCubeX/ClashMetaForAndroid/releases/tag/v2.11.18