🛡️ uTLS 库发现 Padding 填充漏洞可导致代理流量被精准识别 研究人员发现用于模拟浏览器指纹的 uTLS 库存在严重漏洞，其在模拟 Chrome 和 Edge 浏览器时遗漏了 TLS 握手包的长度填充（Padding）步骤。真实浏览器在 ClientHello 数据包小于 512 字节时会强制填充至 512 字节，而 uTLS 发送的"超小包"在真实 Chrome 环境中并不存在，使 GFW 能够仅凭数据包大小被动判定流量为伪造。 该漏洞影响 2023 年 12 月至 2026 年 10 月间的 Chrome 120 指纹，以及 2025 年 5 月前的 Chrome 默认指纹。在单独存在 Padding 漏洞时，域名请求和 IP 直连的被识破概率分别为 25% 和 50%；若叠加此前的 ECH 漏洞，识别率将升至 62.5% 和 75%。由于代理工具会产生持续连接，审查系统识别流量的成功率接近 100%。目前 uTLS 已在 v1.8.2 版本中修复此漏洞，未更新的用户建议切换至 Firefox 指纹或停用 Chrome 指纹。 (VPS信号)