【禁聞】監控技術曝光 中共通過流量特徵識別VPN

【新唐人北京時間2026年07月16日訊】中國一家網路安全公司「任子行」的內部韌體(firmware)程式庫疑似外洩,曝光了其用來識別 VPN 與翻牆工具的技術細節,讓外界一窺中共網路監控系統的部分運作方式。

網路安全帳號 NetAskari 7月11日發帖指出,中國網路安全公司任子行(Surfilter)存放韌體程式的一個網路倉庫疑似暴露。韌體相當於「用來驅動硬體進行作業」的軟體,因此曝光了一些監控設備的內部運作機制。

根據NetAskari發布的列表,任子行的系統已能識別數十款VPN及翻牆軟體,包含:開源類VPN:Clash、V2Ray;商業VPN:ProtonVPN、Windscribe;以及特定翻牆產品:快連 VPN、閃連 VPN等。

有網絡工程師指出,這類系統不一定要破解VPN的加密內容,主要是識別流量特徵。系統會收集 VPN 連接時的數據包大小、連接頻率、建立連接的握手方式等特徵,建立「指紋庫」來判定用戶是否在使用翻牆工具。一旦識別,可對用戶進行限速、斷線、封鎖節點,或將記錄送交監管與公安部門。

任子行長期為中共政府、電信營運商及大型企業提供網路安全產品,部署在電信運營商,資料中心,DNS 系統,雲端服務,骨幹網路節點等基礎網路設施。

美國軟件工程師徐卓昀表示,這次韌體外洩讓外界得以觀察中共網路監管基礎設施的部分細節。

美國軟件工程師徐卓昀:「一方面就是說,政府呢,他把識別這塊外包給第三方公司,像這次任子行就是一個具體例子。然後還有一個就是根據這個截圖來說,那他們這個識別庫的更新頻率挺高的。7月他截圖截的這頭幾天,基本每天都有更新。那證明這公司他一直在研究新的各種不同的工具和協議來嘗試去檢測。」

中共在今年4月展開了極其嚴厲的 VPN 與跨境流量「大專項專案打擊」,連號稱「永遠能連上」的快連VPN也被迫終止了在大陸的營運。而這批外洩的韌體正巧揭示出這波大取締背後的技術底層,也就是不再單純封鎖 IP 或網址,而是用流量特徵辨識翻牆工具。

前阿里軟件測試工程師蔡曉麗認為,這次外洩證實了中共對網絡自由的極端恐懼。

前阿里軟件測試工程師蔡曉麗:「曝光的資料透露出,中共網安系統利用多模型算法建立了加密流量指紋特徵庫,以將海外民主運動常用的V2ray、Portant VPN等工具納入指紋特徵精準識別庫。從開源代理到商業VPN的重點監控名單,這僅是中共正利用運營商、網安公司和警察部門的三位一體大數據監控鏈路,對牆內有民主訴求、試圖獲取真實資訊的異議人士進行精準實名化和線下定向打壓。」

任子行的韌體外洩後,也給資安研究人員提供了一個機會,可以對其進行逆向工程(Reverse Engineering),分析設備的實際能力、發現漏洞等。

蔡曉麗:「開源社區和工具開發者可以利用外洩的特徵規則反向進行反識別與混淆測試,幫助牆內民眾開發出更難被封鎖的翻牆工具,以突破資訊封鎖。雖然中共會利用自動化疊代迅速升級指紋庫,但這次曝光極大地拉高了其維穩的技術門檻與資金成本。」

近幾年中國資安公司的外洩事件不斷引起國際關注。2024年上海「安洵資訊」(i-Soon)的內部文件外洩,揭祕了中共如何讓資安公司執行全球網路間諜活動與駭客攻擊。2025年積至信息(Geedge Networks)大規模的資料外泄揭露了中共「防火長城」底層運作機制的內幕。

編輯/尚燕 採訪/常春 後製/Viola Pang