TLS协议

研究人员披露用于模拟浏览器指纹的开源uTLS库存在Padding填充缺失漏洞：其在模拟Chrome/Edge时未将ClientHello不足512字节的数据包强制补齐，产生真实Chrome环境中不存在的“超小包”，使审查系统可仅凭包长被动判定流量为伪造代理。漏洞影响Chrome 120指纹（2023年12月至2026年10月）以及2025年5月前的Chrome默认指纹；与既有ECH问题叠加时，域名与IP直连场景识别率进一步上升，持续连接的代理工具更易被高概率命中。目前uTLS已在v1.8.2修复，未更新用户被建议切换至Firefox指纹或停用Chrome指纹。