关于有的朋友认为这不算是漏洞，我想补充几个观点： 1、路径穿越本身并不被视为漏洞，因为很多程序允许 人为 的路径穿越。 2、内网环境没有设置Clash API密钥很常见，因为内网环境通常被认为是相对安全的，大多数人不会在内网环境中设置授权密码。 3、CORS本身也不是漏洞，而是浏览器实施的一种安全机制。 但是，由于内网环境未设置Clash API密钥，这使得任意网站可以通过浏览器的CORS机制调用Clash API接口。同时，路径穿越的存在使得调用API接口后，恶意代码可以被写入到电脑上的任意有权限的位置（非人为的路径穿越）。这样的攻击链就构成了漏洞。 尽管集齐这三个条件可能看起来很困难，但实际上，视频中展示的Clash Verge+Clash.Meta组合的默认配置就满足了这三个条件。对于不熟悉安全性的普通用户来说，默认情况下就存在这个漏洞。因此，视频中主要演示如何通过为Clash API添加密钥来打断这个攻击链，以确保安全性。 如果大家有其他观点，欢迎在评论区留言交流。

全程无废话，赞一个！

真的很感谢博主，我用的以前的版本，这些都不知道，真的很感谢，路转粉😘

小tips，fofa扫出来的应该大部分是部署在路由上的openclash，它本身对路径穿越是有防护的，以及对权限限制比较完善，所以还是比较安全的

安全绝对是天大的问题，受攻击造成的损失是无法估量的，心痛！

确实讲得太棒了，能讲讲软路由就好了

Security through obscurity ，利用隐蔽性达到安全性永远不是一个好的方法。该解决的除了是path traversal的漏洞以外，最主要的是应该解决未授权的用户能随意控制API接口的问题。不设置API key就可以拥有RWX控制是一个很大的漏洞。当然，理论上不应该允许负责clash 的用户拥有写入任何目录的权限。顶多是给写入config目录的权限，而且不应该有execution的权限。

支持up普及网络安全！

吓一跳，赶紧更新了，感谢博主

很多人都覺得彈計算機沒甚麼 實際上就是很嚴重的 RCE 相當於你被控制

为了流量的小随想，支持不良

虽然看不懂，但是仍然先赞再评论再看，一条龙走下去

加油,你的初心是對的,不用在意別人

謝謝！

it小白路过，惊呆了，私以为以现在的防火墙水平，能直接通过钓鱼链接控制电脑几乎是不可能的事，结果现实狠狠的给了一耳光，涨见识了

必须点赞

先点赞再观看

我想知道啥时候远程桌面软件的桌面能像黑客控制的时候这么流畅 😅

以前多次遇到这种跳转式的网站。小时候看过一些病毒介绍，知道不对劲，但无力排查

感谢分享，我赶紧更新了clash

干货满满👏

专业。涨知识了。谢谢

几个小时前，clash meta 也已经更新，重装后应该修复了吧。谢谢老师！

好恐怖，我在桌面留了一个文档，写上求黑客不要攻击我～他们一定会心软的！

这个漏洞对macos 10.15以上的版本是没有影响的,macos 最近几个版本对软件写入权限做了严格限制,根本没有办法写入自启动脚本,不过建议m1版的电脑可以使用iOS版的代理工具.

Kali用的好，牢饭吃到饱😅

哥们真是VPN专精哥，放在日本得是个VPN仙人了。

很完美，怪不得我说使用classh测速的时候根本无法使用呢 - - ， 哈哈哈

谢谢UP分享虽然我很少用clash，但是这个问题确实很严重。

很棒的教程😘😘

影片质量不错，节点卖的是真的杀猪了 lol

Clash for windows 不是删库跑路了吗？ clashX最后提交是2 年前的 1.95还是 1.96来着。

Clash for Windows可以设置动态端口连接核心。6:10已经说到了😄

可以出一期视频讲讲如何辨别专线节点嘛

这个远程控制软件让我想起了当年的灰鸽子

太吓人了，感谢您的提醒！这就去修改配置

博主的clash‘可以分享一下吗😀

谢谢你，让我想起以前XP年代开灰鸽子扫端口找肉鸡的日子

我点了上面的演示连接，然后跳转到百度首页了😅，我没用clash，没啥问题吧？

我台式机系统是manjaro linux，用了shellclash，也用的yacd面板，没有配置公网，危险性应该不大吧？

先赞后看

盲猜一下是随便配置了跨域，现在好多前后端分离的项目都有这个问题。不过对于国内，一般除非有权进入了内网，这个漏洞才能被利用。要是映射到公网上的，那就凉凉了

老哥厉害

大佬出一期简谱clash内核区别,tun,tap啥的.还有这么多玩open clash的，有啥 Fake-iP这种模式也没有看懂。也没有专门的wiki解释。

问一下，今天看视频的时候突然就跳转到百度首页了，什么都没点，平时也没用过百度，会不会有啥危险呀

沒講mac版怎麼設定，最新版已不支援我的macos系統，衹能用舊版，介面也和windows版不一樣。

我去 我现在就在用clash😅

看着挺好玩❤

目录穿越导致的任意文件写入导致的后门植入😂

黑客也可以靠更换代理配置来截获网络流量吧，这也很危险啊

想问一下，v2rayn有类似的漏洞吗，切换到v2rayn安全不？🤔

哈哈，习惯性加64位secret，没想到有效

请问“在公网暴露API接口”什么意思？我的路由器有公网ip，电脑clashx的External Controller的端口只要不在路由器做端口映射就没事吧？谢谢

不良林大大，可以讲一讲ikev2节点搭建吗？

另外win10下powershell脚本默认是没有执行权限的，除非特意开启权限，现代操作系统比你想象的安全的多

感谢提醒😊

讲的太棒了

天呐，clash重度患者，经常浏览各种导航会不会已经出现问题了😭

我用的就是旧版本，有没有知道怎么查看自己有没有被攻击？

感谢分享😁

如何自己检查自己有没有暴露api，有没有已经被攻击，能不能关于这个出一期教程，提高安全防范水平。 被入侵，如果自己浏览器上的小狐狸钱包里有不少钱，会不会被别人划走啊😢

可以支持执行指令, 这个作者是怎么想的. 那配置供应商岂不是可以搞事情. 赶紧fork一个修改了用.

感谢不良林！

作者大大，路由器梅林上的clash有影响吗

❤爱来自感谢

eset对这个有防护效果吗

手机会有影响吗 clash for andriod

手机端会有影响吗？😢

我用的是clash for windows,全是英文,找不到中文設置怎麽辦?

还是用v2rayn吧，感觉window端没有对手

谢谢博主分享！

好人一生平安！

就算为了流量又怎么样，视频干净利落也不拖泥带水，另外也是真的可能发生的问题，提个醒注意一下不是也挺好的

无法连接到 Clash core 核心，日志不可用是怎么回事

想请问一下，macOS，刚装了CFW，也替换了clash.meta。自建的VPS，reality，怎么导入到CFW？我看写的手动配置要导入一个脚本似的，不懂

多谢大神提醒

厉害，所以有人分享免费机场给你你也要小心，可能这个人想入侵你的电脑

可以问下 如何判断自己是否已经被注入或者中病毒那

幸亏我V2用惯了

clashx for macos会有影响么？

民间的程序让人利用，或者就不是民间的，干脆就是钓鱼，或者有目地的部门，有意漏洞，揭露了再补。要小心，一定要小心。这个视频警醒了爱好者。网上本来就有钓鱼视频目的你懂的。

举个例子 假如已经被监控 按你说的配置随机端口加密码 就能解决吗？万一他录屏了 看到你设置密码不是还是不行？

有没有办法讲一下如何设置路由器或者配置clash，上网飞？不知道为什么，我ps5上不了网飞，电脑登网飞网站也打不开，但是微软商店里下了个网飞app却可以登陆网飞，我用的梅林，同样的节点，同样的路由器为为什么会这样？

所以我的clash-api只允许本地访问，也单独给了clash服务一个权限较低的用户，导致clash完全不能向电脑写数据。写了一个外部的脚本更新clash配置文件。。

rootless docker + no cache 模式部署网关 = 一劳永逸...

请教UP主一个问题, 同样的节点, 电脑使用没任何问题. 手机端连接WiFi没有问题, 但是移动网络就不行. 但是移动网络中,如果将节点服务器更改为VPS的IP地址, 就可以了. 不知道什么原因. 手机端是shadowrocket

没事，我用V2Ray😂

up你好，请问现在clash删库之后，我们应当作何反应？是否应该尝试使用如v2ray的工具替代clash？

感谢Up主，Mac Windows已更新到最新。但是Clash For Android 最新版本是22年11月的，这个最新的Android版本的Clash是没有这个问题呢，还是漏洞补丁还没更新？

docker环境 哪个镜像可以包含内核+WebUI? docker环境两者必须是分开搭建的吗?

感謝🙏 麻煩大神順便也講講手機安全方面的.

谢谢博主~

太赞了，感谢分享！🎉🎉🎉

前段时间cfw出漏洞后我就切换到了verge+meta内核，没想到又中招了（乐

想借地问一下 有时候点链接弹出一个新的chrome窗口又自己消失了是不是中了什么坏东西😨

老实说，根本不在乎，爱咋滴咋滴

我说前一阵怎么老被卡巴斯基拦截到网络攻击，还都是端口攻击

我之前被木马感染，连了矿池，用的是V2N的10808端口。关闭局域网共享这矿池就连不上我，我也不懂技术，重做系统也没用，360小红伞也不行。重做后连10808还是在的。再后来请出卡巴斯基解决掉了。这个默认的端口都应该小心点改掉。

请教下UP，我用你推荐的静态IP+快联+指纹浏览器，为什么google账号还是会被风控，提示存在关联交叉！

认为不良林有必要说明，无论是更改 9090 端口，还是设置 api 密码后，speedtest 网速测试都可能会发现网速变慢，60Mbps 到 2Mbps，降低了有30倍！！！。 可能我的机场订阅配置文件需要用到 9090 端口吧，控制变量排查了好几天才发现是这个影响了机场网速。。