2026 年中 GFW 追踪:从封链路到识别升级,传言、泄露与可证实的事实
2026 年 4 月那轮跨境网络整顿的余波还没散。进入 5、6 月,社交平台上又冒出一堆吓人的标题:"AI 抓翻墙准确率 94%""天狗系统全省部署""商业 VPN 全军覆没"。
这些到底是真的,还是又一轮带货焦虑营销?这篇年中追踪,专门帮你把"事实""泄露"和"传言"分开。
30秒先看完
- 4 月那批标志性事件(工信部会议、运营商熔断通知)是 4 月的事,5—6 月主要是"高压延续",目前没有同级别的新权威事件。
- "天狗系统""AI 识别""省级部署"有真实内核——来自 2025 年 9 月一份史上最大规模的审查系统泄露;但"94% 准确率"这类具体数字只在自媒体标题里,无任何技术或官方依据。
- 能证实的硬变化是:审查能力确实在往"识别加密流量、解密握手包、区域化部署"方向升级。普通用户的应对没变:小额测试、双线备份、别买长约。
先说结论
如果要用三句话概括 2026 年中的局面:
- 大方向没变,只是更"卷"——从"封节点、封链路"继续往"识别行为、识别协议"升级。
- 传言有真实底料,但被掺了水——拿真实泄露当背书,再加未经证实的精确数字和"唯一解决方案"话术。
- 对普通用户,结论和 4 月一样:承认环境变了,用更保守的投入分散风险,别迷信任何"永不被封"。
一、4 月之后这两个月:高压延续,但要诚实区分
先说一个容易被自媒体模糊掉的事实:很多"最新动态"其实是 4 月的旧闻。
- 工信部 4 月 7 日召集基础电信企业整治"跨境数据专线擅自联网"、地方运营商"立即熔断"的通知——都是 4 月的事。
- 5—6 月,从权威媒体和官方渠道,没有找到同等级别的新公开事件。
那"持续高压"是编的吗?也不是。它有两类支撑:
- 趋势层面:柏林全球公共政策研究所(GPPi)5 月 27 日发布报告(基于下面要讲的泄露数据),指出审查执法正引入机器学习识别 Shadowsocks/V2Ray/Trojan,并对个人罚款。
- 社区实测:进入 6 月,大量用户和机场反馈节点仍在反复掉线、断流、短暂恢复又炸,部分机场涨价、清退线路、转客户端订阅。
阅读提示
"5—6 月持续高压"主要由 趋势报告 + 社区实测 支撑,不是新的官方大事件。看到把 4 月会议、运营商通知说成"6 月最新政策"的,基本可以判定是旧闻翻炒。
二、"天狗 / AI 识别 / 省级部署":一份泄露文件才是源头
这是本文最该讲清楚的部分。这批说法不是凭空捏造,但也不是自媒体说的那样。它们的真实源头是一起重大事件:
2025 年 9 月 11 日,积至(海南)信息技术有限公司(Geedge Networks)与中科院信工所 MESA 实验室遭遇约 500GB 量级的泄露,包含源代码、内部文档和工作日志,被 gfw.report、国际特赦组织、InterSecLab 等多方联合分析。这被认为是迄今规模最大的审查系统泄露。
基于这份泄露,逐条对照那些传言:
「天狗系统」(TSG, Tiangou Secure Gateway)——真实存在,但身份被说错了 它确实存在,但它是积至公司的一款商业出口产品(配套一整套管理工具),已经卖到哈萨克斯坦、缅甸、巴基斯坦等国。自媒体把它说成"GFW 新一代审查系统的官方代号",是误读——它是一家公司的商业产品名,不等于防火长城本身。
「省级独立部署」——是正在推进的趋势,不是"已全国铺开" 泄露文件确实显示,国家级防火墙正从"集中式"向"分布式"演进,新疆被当作"可复制的省级样板"。但这是试点和方向,传统 GFW 的主力仍在京沪穗几大出口。说"各省都已建成独立防火墙"属于夸大。
「AI / 机器学习识别」——能力部分证实,但"94%"是网传 泄露文件确实提到 TSG 用 DPI 加机器学习从加密流量里提取元数据——所以"有 AI 识别能力"这件事是站得住的。但"准确率 94%"这个数字,只出现在某些 YouTube 视频的标题里,在 gfw.report、国际特赦、InterSecLab 的任何技术报告中都找不到对应来源。
资料来源:gfw.report 泄露分析、InterSecLab 报告(权威研究);"94% 准确率""商业 VPN 全军覆没"等为自媒体说法,未独立核验。
看出套路了吗?真实泄露当底料 → 掺进无法证实的精确数字制造恐慌 → 最后引向带货式的"唯一解决方案"。 底料是真的,调味是假的。
三、政策与立法:同步在收紧(这些是实的)
和技术侧并行,制度层面有几个可证实的动作,但要分清"已施行"和"还在草案":
- 《网络安全法》修订已落地:2025 年 10 月 28 日全国人大常委会通过修改决定,2026 年 1 月 1 日起施行。这是 2017 年实施以来首次重大修订,要点包括 AI 入法、法律责任大幅加重(特别严重情形罚款可达 200 万—1000 万元)、域外效力扩大。
- 《网络犯罪防治法》还只是征求意见稿:公安部 2026 年 1 月 31 日公开征求意见、3 月 2 日截止,共 7 章 68 条。注意它还没通过、没施行,看到说"已实施"的要打问号。
- 全国网络法治工作会议(2026 年 4 月 8 日,北京)确实召开:提到"网络立法'立柱架梁'基本完成"。但这是工作部署性质的会议,没有宣布任何具体的新 VPN 法律,也没提跨境数据的具体措施。把它解读成"VPN 新政出台"是过度引申。
一句话:制度在收紧是真的,但别把"草案"当"法律",也别把"工作会议"当"具体新规"。
四、App 持续清场
应用层面的清理在继续,这些有一线媒体证实:
- Bitchat 被下架:Jack Dorsey 推出的去中心化蓝牙 Mesh 通讯应用,应中国网信办要求由苹果从中国区下架。Dorsey 于 2026 年 4 月 5 日公开了苹果的下架通知,苹果援引的是 App Store 审核指南的"法律"条款。
- Blued、Finka 被下架:两款同性交友社交应用,约 2025 年 11 月 11 日应网信办命令由苹果从中国区移除,苹果发言人公开确认。
背景区分:WhatsApp/Signal/Telegram 等被下架是 2024 年的事,别和 2026 混在一起。VPN 类应用在中国区 App Store 早已被系统性清除,属于长期状态而非新闻。
五、学术界给的硬证据
如果说自媒体的数字不可信,那真正可引用的,是这些同行评审论文(都来自 gfw.report 等公开发表):
- 全加密流量被动检测(USENIX Security 2023):GFW 在 2021 年底就上线了针对"全加密流量"本身的检测——一段流量太像随机加密、不像任何正常协议,反而会被盯上。这正是裸 Shadowsocks/VMess 失效的根因。
- QUIC 的 SNI 审查(USENIX Security 2025):GFW 自 2024 年 4 月 7 日起会解密 QUIC 首包、读取里面的 SNI 来封锁特定域名,是全球首次国家级对 QUIC 的审查——说明它已具备解密握手包的能力。
- Wallbleed(NDSS 2025):GFW 的 DNS 注入子系统存在一个类似 Heartbleed 的内存泄露漏洞。
- 区域化"墙后之墙"(IEEE S&P 2025):研究发现河南存在比国家级 GFW 更激进的省级防火墙,累计封锁域名数量远超 GFW 黑名单——和第二节"省级化趋势"互相印证。
这些才是判断"GFW 能力到哪了"的可靠依据:它确实在往"识别加密流量、解密握手、区域化部署"方向走——不需要"94%"这种唬人数字来证明。
六、为什么圈内转向 Reality / 直连
正因为 GFW 既能被动识别加密流量、又开始解密握手包,社区这两年明显转向"伪装成真实 HTTPS 直连"的路线,代表就是 VLESS + Reality。
它抗主动探测的原理很巧:服务端借用一个真实大站的证书来握手,当 GFW 的探测者连进来(没有正确密钥)时,服务端把这次连接透明转发到那个真站——探测者看到的是一个货真价实的合法网站,分辨不出这是代理。
但要说清楚:Reality 是"当前有效",不是"永不被封"。 它依赖干净的落地 IP 和可用的伪装站点,2025 年也已出现针对它的探测研究。各路自媒体说的"唯一破局方案""100% 绕过",听听就好。各协议的具体差异,可以看这篇:2026 主流翻墙协议横评。
七、对普通用户意味着什么
技术细节再多,落到普通人头上其实就几条,而且和 4 月那篇的建议是一致的:
- 可用性波动会更大,尤其晚高峰,别指望"一条线路用到底"。
- 成本在抬升,那些"低价高配""终身套餐"更容易先出问题。
- 机场生命周期在缩短,跑路和失联风险放大——这点可以结合 2026 机场跑路潮观察 一起看。
如果你只做三件事:
- 小额测试、按月或按量,不要大额长周期预付。
- 至少准备主备两条路径,别单点依赖。
- 重点看高峰期稳定性,而不是低峰测速的峰值。
最后
2026 年中的真实图景,没有自媒体标题那么"赛博朋克",但也确实在变难:审查能力在升级,制度在收紧,工具的对抗成本在上升。
最值得养成的习惯,反而是信息素养——看到"AI 94%""天狗全省部署""唯一解决方案"这类话术,先问一句:来源是谁?是泄露文件、学术论文、官方公告,还是一个要卖你东西的视频标题? 分清这一点,比追任何"神线路"都管用。
免责声明
本文基于公开的学术论文、权威媒体报道、官方公告及公开泄露分析整理,并明确区分了"已证实事实"与"网传待核"。文中涉及的技术与服务仅供客观了解,不构成任何建议或号召,请遵守所在地法律法规,理性判断、自担风险。信息可能存在更新延迟,请以最新公开来源为准。