一个看起来是"服务限制"的决策,背后藏着机场运营的生存逻辑
你有没有注意到,最近当你打开一家机场网站或者频道,公告都写着只可以使用客户端,不支持第三方订阅。
如果你追问客服"为什么不支持 XXX?",大概率得到一个敷衍的回答:"为了应对现在复杂的审查以及防止我们的订阅链接被恶意使用、恶意举报、恶意攻击,已经关闭原有订阅的使用!以及不再支持任何 clash、小火箭在内的第三方客户端"
这背后,究竟是什么情况?
一、为什么机场突然开始"逼你"用专属 APP?
这事得从 2025年7月初说起,开始通报,只有一小部分机场为了解决通报开始自研客户端,用买一送一的活动尝试把用户迁移到客户端,并且保持订阅模式,但是订阅和客户端线路不同,质量也不同,客户端基本很稳,订阅经常timeout。
今年4月份,国内突然出现了一轮明显的执法收紧。此次打击清算翻墙国内机场的力度前所未有,TG机场群和Twitter帖一片哀嚎,说是国内翻墙机场至暗时刻也不为过。如此迅速的大规模、系统性打击应该是来自高层的指示。因为国内中转机到掌控权在打击者监管方手里,要封锁可谓是易如反掌,国家层级的封锁,即使被拔线也毫无反抗之力。至于为什么这次力度这么大,原因不清楚也不需要纠结。
执法方式升级了——不只是封 IP 那么简单,而是通过购买机场订阅链接,追溯到背后的服务器机房,然后直接去数据中心"拔线"。此次打击对所有中转机场都有影响,因为是连坐制的,一旦有一个机场通报整个ip段都会被拔,也就是说即使你的机场没通报,也一样会受到影响,因为没人可保证其他机场不会被通报。(提出ip通报连坐制的真是个天才)。同时即使都没通报,IDC为了安全也会主动清退。所以即使目前正常的中转(包括专线中转)机场也是岌岌可危的。
目前各机场也是各显神通,采取包括封端,自建DNS,更换直连协议节点,海外中转等策略。本质上这是一场回合制游戏,GFW出牌之后轮到机场主门出牌了而已。
目前没有任何一家机场可以做到 100% 稳定,且用且珍惜。
这对机场来说是很大的压力,被拔线的同时也伴随着买不到线路。
以前的应对方式是换 IP、换协议。但现在问题是:Clash、V2Ray 这些开源工具,用的人太多,流量特征太明显。防火长城(GFW)早就用 AI 分析流量模式,开源协议的"指纹"基本上都有存档。你发出去的每一个数据包,都可能被识别出来。
所以机场开始转向:私有协议 + 自研客户端 + 重开新机场。
二、私有协议是什么意思?
简单说,就是机场自己开发的、不公开源代码的传输协议。
目前行业里比较有代表性的是 AnyTLS。这个协议的核心思路是:让你的翻墙流量看起来跟普通的 HTTPS 网页浏览一模一样——用真实的 TLS 1.3 加密,模拟不同浏览器的"指纹",连接哪个网站(SNI)都可以自定义。
AI 去分析你的流量,看到的就是"这个人在访问某个 HTTPS 网站",识别不出来你在翻墙。
已经有不少机场转向了 AnyTLS。除此之外,还有一些更小众的私有协议,比如 V-Ninja,基本不对外公开技术细节。
私有协议的问题是:它必须有配套的客户端才能用。 开源工具不支持这些私有协议,所以机场只能自己做 APP 给你用。
三、这些 APP 是真的自己做的吗?
不一定。只有小部分机场有专业团队能自己搓出来自研客户端。
业内有一个公开的秘密:很多机场的"自研客户端",其实是从同一家供应商那里买来的"套壳应用"——也叫 OEM 定制。换个 Logo、换个名字,背后是同一套代码。
这不是猜测,从这些 APP 的界面结构、功能逻辑、甚至 Bug 表现来看,有明显的同源痕迹。
四、4月份为什么机场集体涨价,还冒出一堆新机场?
最近不少人发现一个奇怪的现象:自己用的机场要么悄悄涨价了,要么直接跑路,但与此同时,市面上又冒出了一批新机场。
这看起来矛盾,其实逻辑很简单。
这一波"拔线潮"打掉的不只是服务器,连带着很多机场的上游线路供应商也受了波及。线路断了,机场得重新去市场上采购——但能买到的线路,又贵又差,选择也少了很多。
老机场面对的就是这个处境:成本上去了,但服务质量还不一定能保住。于是出现两种结局:撑得住的涨价,撑不住的直接跑路。
那些新冒出来的"新机场",很多其实是老玩家换个马甲重新开张。原来的品牌被通报、被连坐,名声或者服务器都烂掉了,索性重新注册个新名字从头开始——这样反而能重新接触线路供应商,以新客户身份拿到资源。
所以你看到的"市场很热闹",背后其实是一次行业洗牌。
对用户来说,这个时期要格外小心:新机场不等于好机场,很多只是换了壳子的旧机场,稳定性和跑路风险都值得警惕。当然,真正有实力、能在至暗时刻稳住的机场,反而会借机拉开差距——危机也是筛选器。
五、使用专属 APP 有哪些真实风险?
这里都是我了解的问题,且是真实存在的:
1. 你不知道 APP 在做什么
开源工具(Clash、sing-box)的代码是公开的,社区里有大量开发者在盯着,有问题会被发现。但闭源的专属 APP,你完全看不到里面的逻辑。理论上,它可以在你不知情的情况下读取你的浏览记录、网络请求,甚至设备信息。
2. SSL 证书风险
有些机场会要求你安装他们的"根证书"。一旦安装,他们就能解密你所有的 HTTPS 流量,包括你登录银行、购物网站时的数据。这是一个极高的风险操作,大多数用户根本不知道自己装了什么。
3. 开源客户端本身也有漏洞,但至少是透明的
前段时间 Clash Verge Rev 爆出了两个严重漏洞——API 服务没有鉴权,还存在跨域问题,理论上恶意网站可以远程在你电脑上执行代码(RCE)。这很严重,但因为是开源项目,漏洞很快被发现、被公开、被修复。
闭源 APP 呢?有漏洞你不知道,修没修你也不知道。
4. 路由器没法用
专属 APP 几乎都只支持手机和电脑,无法部署到路由器。如果你家里有很多设备需要同时翻墙(电视、游戏机、智能家居……),专属 APP 基本帮不上忙。
五、那我该怎么选?
说实话,这个问题没有标准答案,但有几个判断方向:
如果你什么都不会,只想翻墙,那就只能用自研 APP 的机场,至少做到:不要安装任何它要求的"根证书",不要给 APP 不必要的权限(通讯录、相册等)。正儿八经的机场也不会对你的个人信息感兴趣,毕竟开机场比窃取你们的隐私更赚钱。
如果你对隐私比较在意,优先选那些仍然支持 Clash Meta / sing-box 订阅导入的机场。这类机场通常历史更长、价格更贵、更在意口碑,愿意让你用自己信任的客户端。
如果你需要路由器支持,专属 APP 的机场直接排除,看支持 sing-box 或 Xray 配置导出的机场。
如果你的技术能力足够,考虑 VPS 自建。自己搭的节点,协议自己选(VLESS+Reality 或 Hysteria2 都不错),没有任何第三方知道你的流量走向。成本也不高,一个月几美元的 VPS 完全够用。
再就是把客户端安装在虚拟机里,虽然保证了隐私,但是多了一个新的问题,你会不会装虚拟机。
最后说一句
机场推专属客户端,背后确实有技术上的合理性——私有协议确实更难被识别,这对抗封锁是有意义的。
但"更难被 GFW 识别"和"对你更安全",是两件完全不同的事。
前者保护的是机场自己的服务器,后者保护的是你的数据和隐私。
搞清楚这个区别,你就知道该怎么选了。
本文基于 2026 年4月公开可查的客户端生态信息及行业观察整理。协议的攻防格局动态变化,具体选机场建议以个人实际需求为准。