[VPN黑名单] : 一份关于数字隐私工具背后隐藏风险的调查报告

引言

本报告旨在挑战一个普遍存在的营销神话：虚拟专用网络（VPN）是数字隐私坚不可摧的盾牌。尽管VPN承诺提供匿名性和安全性，但该行业却常常充斥着欺骗性的商业行为、根本性的利益冲突以及技术上的局限性，这些问题使用户面临着他们原本试图规避的风险。

本报告的论点是：通过对四个关键支柱的深入调查——免费VPN的危险经济学、“零日志”政策的幻象、争议性母公司对市场的整合，以及在应对国家级审查时的普遍失败——我们将揭示，VPN行业的一个重要部分是建立在被滥用的信任之上的。因此，有辨识能力的用户需要一个远比当前更为严苛的评估框架。

本报告将通过以下四个核心部分的分析，为上述论点提供基于证据的详尽论证，揭示VPN行业光鲜外表下的系统性问题。

第一部分：“免费”的代价：解构免费VPN的危险商业模式

本节将彻底剖析“免费”隐私工具这一概念，揭示当服务本身不收费时，用户的个人数据、网络安全乃至设备资源，都将沦为待价而沽的商品。这种商业模式不仅是对用户隐私的侵犯，更可能将用户置于严重的网络安全威胁之中。

1.1 用户即商品：数据收割与广告变现

免费VPN服务的运营存在一个根本性的经济矛盾。维护一个稳定、高速的全球服务器网络需要巨大的资金投入，包括服务器租赁、带宽费用和技术维护 1。既然用户不直接付费，运营商就必须寻找其他收入来源。在这种模式下，用户的数据流成为了最直接、最容易变现的资产，从而引发了与隐私保护初衷背道而驰的利益冲突。

免费VPN主要通过以下几种方式将用户商品化：

• 数据记录与销售：这是最普遍的盈利模式。许多免费VPN服务会明确记录用户的在线活动，包括访问过的网站、搜索历史和在线行为，然后将这些数据打包出售给广告商和数据经纪人 1。用户在安装和使用这些应用时，往往在不知不觉中通过冗长的服务条款同意了这种数据收割行为 1。例如，自2008年以来一直运营的Psiphon，就是通过向第三方出售用户数据来维持其免费服务的 1。
• 应用内广告：最常见的变现方式是在VPN应用内植入大量弹窗和展示广告。这些广告通常是“个性化”的，这意味着VPN服务已经将用户的浏览历史等数据分享给了广告供应商，以便进行精准投放 2。这不仅影响用户体验，更直接违背了用户使用VPN保护隐私的初衷。
• 追踪技术植入：为了最大化数据价值，免费VPN服务普遍在其应用中嵌入多种追踪技术。服务如Betternet和TouchVPN因在其应用中植入大量追踪库、广告Cookie和网络信标（Web Beacons）而臭名昭著 1。2018年澳大利亚联邦科学与工业研究组织（CSIRO）的一份研究报告发现，在所有被分析的免费VPN应用中，拥有3800万用户的Betternet内置的追踪库数量最多，高达14个 3。这些技术能够跨网站、跨应用地监控用户行为，构建详细的用户画像。
• 具名案例：除了上述的Psiphon和Betternet，还有许多知名的免费VPN服务采用了类似的商业模式。例如，Hola、Opera VPN、Facebook旗下现已关闭的Onavo Protect（其主要目的就是为Facebook挖掘用户数据用于市场分析）、ZPN和FinchVPN等，都被证实通过记录和出售用户数据来盈利 1。

1.2 案例研究：Hola VPN的僵尸网络丑闻

Hola VPN的案例是免费模式如何从侵犯隐私升级为直接利用和危害用户的典型。它所展现的商业逻辑，远比简单的数据售卖更为险恶。

• “点对点”模式的伪装：Hola最初将其服务宣传为一种创新的“点对点”（Peer-to-Peer）网络，声称通过用户之间共享带宽，可以缓存内容，从而加速互联网访问 4。这一极具吸引力的技术叙事掩盖了其真实的商业目的。
• Luminati网络：用户的资源成为商品：事实上，Hola秘密运营着一个名为Luminati（现更名为Bright Data）的姊妹公司。该公司将Hola免费用户的闲置带宽和真实IP地址作为“出口节点”，以高达每GB 20美元的价格出售给商业客户 4。这意味着，当一个免费用户连接到Hola时，他们的电脑和网络连接就可能被Luminati的付费客户用来访问互联网。
• 一个“自愿的僵尸网络”：安全研究人员将Hola的网络形容为一个“安全性极差的僵尸网络”（poorly secured botnet）5。免费用户在毫不知情的情况下，成为了他人网络流量的出口。如果Luminati的客户利用这些IP地址从事非法活动，例如发送垃圾邮件、进行网络攻击或发布非法内容，那么所有的法律责任和网络追踪都将指向这些无辜的免费用户 2。直到丑闻被曝光后，Hola才在其网站的FAQ中承认了这一事实 4。
• 网络的武器化：Hola网络的潜在危害很快就变成了现实。知名匿名论坛8chan的创始人Fredrick Brennan报告称，他的网站遭到了源自Hola/Luminati网络的分布式拒绝服务攻击（DDoS）。攻击者利用该网络，在30秒内向网站发送了数千个看似合法的请求，导致网站服务器崩溃 6。这起事件无可辩驳地证明了，被商品化的用户资源可以被轻易地武器化，用于发动网络攻击。
• Hola的回应：事件曝光后，Hola的创始人Ofer Vilenski最初辩称，这种资源共享模式在用户协议中已有说明。然而，在巨大的舆论压力下，他最终承认公司犯了“错误”，并承诺将更清晰地向用户说明其P2P网络的工作方式 5。

Hola的案例揭示了一种商业模式的危险演进。它始于将用户数据作为商品（user-as-product），随后升级为将用户的计算资源和网络身份作为可供销售的基础设施（user-as-infrastructure）。这种演进路径显示，一旦突破了“不应利用用户”的道德底线，剥削的程度就会不断加深，从被动的隐私侵犯走向主动的资源征用，最终使用户面临不可预知的法律和安全风险。

1.3 不止于数据售卖：作为恶意软件分发系统的免费VPN

免费VPN的危险性并未止步于资源滥用。网络犯罪分子已经意识到，“免费VPN”是一个极具诱惑力的诱饵，可以用来分发最危险的恶意软件。他们利用了用户对隐私保护工具的信任，以及对GitHub等知名平台的信赖，设计出难以防范的攻击链条 7。

• 案例研究：Lumma Stealer恶意软件活动

  • 诱饵：近期的一场网络攻击活动中，攻击者在GitHub上创建了多个看似合法、专业的“Free VPN for PC”项目库 7。这些库通常包含详细的安装说明和受密码保护的ZIP压缩包，后者旨在规避浏览器和杀毒软件的初步扫描 7。

  • 感染链：当用户下载并执行名为Launch.exe的安装程序后，一个复杂的多阶段攻击链便被激活。该程序首先使用多种规避技术：

    • 混淆（Obfuscation）：恶意负载被Base64编码并嵌入在程序中，通过自定义函数进行解码和转换，以躲避静态特征码检测 7。
    • DLL侧载（DLL Side-loading）：恶意程序会将一个恶意的动态链接库（DLL）文件（如msvcp110.dll）释放到用户的AppData等隐蔽文件夹中 7。
    • 进程注入（Process Injection）：为了实现无文件执行并进一步躲避检测，恶意软件会利用合法的Windows系统进程（如MSBuild.exe或aspnet_regiis.exe）作为宿主，将恶意代码注入其内存空间中运行 7。

  • 最终载荷：这一系列操作的最终目的是在受害者电脑上部署Lumma Stealer，这是一种功能强大的信息窃取恶意软件。它能够窃取包括加密货币钱包、浏览器保存的密码、双因素认证扩展程序数据以及其他各类个人身份信息在内的敏感数据，给用户造成直接的经济损失和隐私灾难 10。

• 风险的量化证据：CSIRO研究

2016年，CSIRO联合多家学术机构发布了一份针对283款安卓VPN应用的里程碑式研究，为免费VPN的系统性风险提供了强有力的量化证据 12。该研究的发现令人震惊：

• 恶意软件普遍存在：高达**38%**的应用被检测出含有恶意软件，包括广告软件、木马和间谍软件 13。
• 普遍存在流量泄露：**84%**的应用存在流量泄露问题，特别是无法正确处理IPv6流量，导致这部分流量绕过VPN直接暴露 12。同时，**66%**的应用存在DNS泄露，使得用户的网络请求目的地对ISP和网络监控者一览无余 13。
• 加密缺失：最令人震惊的是，18%的应用根本不使用任何加密来保护用户数据 12。这意味着这些应用不仅没有提供任何保护，反而将用户的全部流量集中到一个可能被监控的服务器上，比不使用VPN还要危险。
• 主动流量操纵：研究还发现，部分应用会主动进行TLS拦截，解密用户的HTTPS流量，并向其中注入用于追踪和广告的JavaScript代码 12。

CSIRO的研究结果揭示了一个严峻的现实：免费VPN生态系统在技术上已经“破产”。一个声称保护隐私的工具，却有近五分之一不提供最基础的加密功能，这本身就是一种欺诈。这种行为创造了一种“负向安全效益”——用户误以为自己受到了保护，可能会因此从事比平时更敏感的在线活动，而实际上他们的通信内容却完全暴露。这种由虚假安全感导致的风险行为，其危害性远超没有防护本身。这表明，“免费VPN”作为一个整体类别，其设计初衷和商业现实决定了它在根本上是不可信的。

第二部分：“零日志”的幻象：当隐私政策沦为营销噱头

本节将深入剖析“无日志”或“零日志”（No-Logs/Zero-Logs）这一在VPN行业中被滥用的营销术语。我们将通过分析有据可查的法律案件，揭示一些VPN服务商的隐私政策与其在现实中的行为之间存在的巨大鸿沟，证明所谓的“零日志”承诺往往只是为了吸引用户的营销辞令。

2.1 日志的剖析：解构VPN的数据收集

“零日志”并非一个具有法律或技术约束力的标准化术语，而是一个极具吸引力的营销口号 14。在用户的普遍认知中，它等同于绝对的数字匿名和无痕浏览。然而，VPN服务商巧妙地利用了其中的模糊性。

• 活动日志 vs. 连接日志：服务商通常声称他们不保留“活动日志”（Activity Logs），即用户访问的网站、下载的文件或使用的应用程序等具体内容。然而，这并不意味着他们不保留任何数据。许多声称“零日志”的VPN服务商仍然会保留“连接日志”（Connection Logs）15。

连接日志的去匿名化能力：连接日志虽然不包含用户的浏览内容，但其记录的信息足以在特定情况下识别出用户身份。这些日志通常包括：

• 用户连接时的真实源IP地址。
• 用户所连接的VPN服务器IP地址。
• 连接的开始和结束时间戳。
• 会话期间传输的数据量（带宽） 15。

当执法机构获得这些连接日志后，只需将其与用户本地互联网服务提供商（ISP）的记录进行交叉比对，就能轻易地将特定的VPN活动与一个具体的家庭或个人联系起来。接下来的案例将清晰地展示这一过程。

2.2 破碎的承诺：PureVPN日志丑闻

PureVPN是一家总部位于香港的服务商，其在营销中一直将“零日志”作为核心卖点，但一桩法律案件彻底粉碎了这一形象。

• “零日志”的公开声明：PureVPN曾在其官方网站上以醒目的方式宣称：“我们不会保留任何可以识别或帮助监控用户活动的日志。”（We do NOT keep any logs that can identify or help in monitoring a user’s activity）15。
• 网络跟踪案（2017年）：美国联邦调查局（FBI）在调查一起涉及Ryan Lin的严重网络跟踪和骚扰案件时，发现嫌疑人使用了包括PureVPN在内的多种工具来隐藏其在线身份 18。
• 数据的移交：根据法庭文件披露，PureVPN与FBI进行了合作。该公司向FBI提供了关键的连接日志，这些日志显示，用于实施骚扰的账户和Lin本人的Gmail账户，都曾通过同一个PureVPN客户账户进行访问。更重要的是，日志记录了两次访问的源IP地址，一个来自Lin当时工作的公司，另一个来自他的住所 14。这些由PureVPN提供的信息成为指控Lin的关键证据，并最终导致他被定罪和判刑 15。
• 事件的后果：此案无可辩驳地证明，尽管PureVPN公开承诺不保留可识别用户的日志，但实际上它保留了足以用于身份追踪的连接日志。事件曝光后，PureVPN试图通过进行第三方“无日志”审计来重建市场信任 14。然而，这一事件已成为VPN行业中“政策与实践”脱节的标志性案例。

2.3 更深层的背叛：IPVanish日志丑闻

如果说PureVPN的案例是未能遵守承诺，那么美国VPN服务商IPVanish的案例则揭示了更深层次的背叛——不仅保留了日志，还可能主动引导执法部门获取这些数据。

• “严格的零日志政策”：IPVanish在其营销中同样使用了强硬的措辞，宣称实行“严格的零日志政策”（strict zero-logs policy）17。
• 国土安全部调查（2016年）：美国国土安全部（DHS）在调查一起涉及儿童色情制品的案件时，将一个可疑的IP地址追踪至IPVanish的母公司Highwinds Network Group 20。
• 与执法部门的主动合作：法庭文件揭示了一段令人不安的互动过程。DHS最初向Highwinds发出了一份记录传票（summons for records）。该公司的初步回应符合其公开政策，声称他们不保留日志，因此无法提供信息。然而，当调查人员再次跟进时，Highwinds/IPVanish的代表建议DHS提交一份内容更具体、更详细的二次传票。DHS照做后，IPVanish便提供了他们声称不存在的数据 20。
• 数据的移交：IPVanish向DHS提供了极为详细的用户信息，包括嫌疑人的真实姓名、电子邮件地址、其在Comcast的真实IP地址，以及详细的连接和断开时间戳 20。这些数据使得DHS能够立即锁定嫌疑人并展开逮捕 20。
• 公司的回应：该事件于2018年被公之于众后，IPVanish的新东家StackPath发表声明，称该事件发生在他们收购公司之前，并强调IPVanish在新的管理下实行真正的无日志政策 20。然而，此案的关键不在于所有权的更迭，而在于它揭示了一种与隐私保护理念完全相悖的企业文化。IPVanish不仅违背了其“零日志”承诺，其行为甚至可以被解读为主动协助执法部门来绕过其公开的隐私政策，这是对用户信任最彻底的背叛。

2.4 审计与透明度的局限性

为了应对由上述丑闻引发的信任危机，许多VPN服务商开始聘请第三方审计公司对其“无日志”政策进行验证。PureVPN在丑闻后就采取了这一补救措施 14。

• 一项不可能完成的任务：然而，安全专家指出，从外部审计的角度来看，要证明一个否定命题（即“没有日志”）是几乎不可能的 17。审计只能确认在检查的特定时间点没有发现日志。它无法保证日志系统在审计之前没有运行，也无法保证在未来不会被启用。归根结底，这仍然是一个基于信任的业务。
• 真正的考验：一个VPN服务商“无日志”政策最确凿的证明，来自于其在现实世界中经受法律挑战的能力。例如，ExpressVPN的声誉在一次事件中得到了巩固：土耳其当局在调查一起暗杀案时，查封了该公司的一台服务器，但最终未能从中获取任何有价值的用户数据 17。同样，Private Internet Access（PIA）定期发布透明度报告，显示其多次收到政府传票，但因没有日志可供提供而未能交出任何数据 24。这些经受住现实考验的案例，与PureVPN和IPVanish的失败形成了鲜明对比。

以下表格清晰地展示了“零日志”承诺与现实之间的鸿沟，通过并列对比，揭示了这些营销口号背后的虚伪性。 表格 2.1：“零日志”承诺与现实：VPN数据披露案例研究VPN服务商宣传的“零日志”政策（引述）调查机构案件详情实际向当局提供的数据PureVPN“我们不会保留任何可以识别或帮助监控用户活动的日志。” 15美国联邦调查局 (FBI)2017年网络跟踪案 (Ryan Lin案) 18连接日志，包括可关联到嫌疑人住所和工作场所的源IP地址 18。IPVanish“严格的零日志政策。” 17美国国土安全部 (DHS)2016年儿童虐待内容调查案 20用户的真实姓名、电子邮件地址、真实IP地址以及详细的连接/断开时间戳 20。HideMyAss宣传为匿名服务美国/英国执法机构2011年LulzSec黑客攻击案 (Sony Pictures) 25连接日志，包括IP地址分配和时间戳，用于识别一名黑客 14。

这些日志丑闻揭示了VPN服务中一个根本性的“信任悖论”。用户选择VPN，是基于对其隐私保护承诺的信任。然而，要使“零日志”的承诺绝对可靠，VPN公司必须有能力和意愿去违抗其所在司法管辖区的法律命令。这意味着用户实际上是在信任一个以盈利为目的的商业实体，会为了一个营销承诺而冒着巨大的法律和财务风险。这是一种极其脆弱且往往不切实际的信任基础。当法律压力出现时，如PureVPN和IPVanish的案例所示，公司的生存本能几乎总是会压倒其对用户的隐私承诺。

IPVanish的案例尤其具有警示意义，因为它所展示的不仅仅是合规。该公司建议DHS如何修改传票以成功获取数据的行为，表明了一种与执法部门“主动合作”的企业文化。这与他们向用户展示的“隐私绝对主义者”形象形成了鲜明的哲学对立。这不再是一个在胁迫下违背承诺的公司，而是一个似乎乐于协助破坏其自身用户隐私的公司。这种从“不情愿的合规”到“主动的合作”的转变，是理解其欺骗行为深度的关键。

第三部分：信任赤字：市场整合、利益冲突与争议性历史

本节将深入调查主导VPN市场的企业所有权结构，揭示一个有着恶意软件分发历史的单一实体，如何控制了众多顶级的VPN品牌以及那些“独立”评论这些品牌的网站，从而制造了一个充满利益冲突的封闭信息生态系统。

3.1 Crossrider的幽灵：Kape Technologies的起源

在深入了解当今VPN市场的格局之前，必须追溯其主要整合者——Kape Technologies——的争议性历史。

• 从广告软件到隐私保护的转型：在2018年之前，Kape Technologies的原名为Crossrider 26。Crossrider最初是一家为开发者提供跨浏览器扩展程序开发平台的公司，其工具因易用性而广受欢迎 28。
• 与恶意软件的关联：然而，Crossrider的平台很快被第三方滥用，成为创建和分发广告软件（adware）和恶意软件（malware）的温床。多项研究和安全报告指出，Crossrider是广告注入（ad injection）行业的主要参与者之一，其平台为恶意行为者提供了便利 28。尽管Crossrider并非这些恶意软件的直接创造者，但其技术平台是实现这些恶意行为的关键推动者。
• 品牌重塑：由于其平台被广泛滥用，导致声誉严重受损，该公司于2016年关闭了其开发者平台，并进行了一次彻底的管理层改组。2018年，公司正式更名为Kape Technologies，将业务重心转向网络安全和隐私保护领域 27。然而，许多批评者认为，这次品牌重塑更多的是一种策略，旨在掩盖和摆脱其不光彩的过去 30。

3.2 建立帝国：Kape的VPN收购狂潮

自更名为Kape Technologies以来，该公司以惊人的速度和巨额资金，展开了一场对VPN市场的战略性收购，将多个原本独立且广受欢迎的VPN品牌纳入其麾下。这导致了一个高度整合的市场格局，许多看似相互竞争的品牌，实际上都由同一个母公司控制。

Kape的主要收购行动包括：

• CyberGhost VPN：于2017年以约1000万美元的价格被收购 27。
• ZenMate VPN：于2018年以约550万美元的价格被收购 27。
• Private Internet Access (PIA)：于2019年以1.276亿美元的价格被收购 27。
• ExpressVPN：于2021年以高达9.36亿美元的天价被收购，这是迄今为止VPN行业最大规模的收购之一 26。

通过这一系列的收购，Kape Technologies成为了全球最大的VPN服务供应商之一，控制了相当大的市场份额。

3.3 收购话语权：VPN评论中的利益冲突

在控制了产品之后，Kape的下一步是控制对这些产品的评价和叙事。

• 版图的最后一块：2021年，Kape以1.491亿美元的价格收购了Webselenese公司。这家以色列公司是两个全球流量最大、最具影响力的VPN评测网站——vpnMentor.com和Wizcase.com——的母公司 31。
• 公然的利益冲突：这一收购行为制造了一个 blatant 的利益冲突。现在，拥有ExpressVPN、CyberGhost和PIA等顶级VPN产品的公司，同时也拥有了那些本应“独立”、“客观”地对这些产品进行评测和排名的网站 31。尽管这些网站在页眉或页脚处添加了所有权声明，但这并不能消除其内在的偏见。一个本应是公正裁判的评测机构，现在却与其评测的对象同属一个利益共同体。
• 偏见的证据：对这些评测网站在被Kape收购前后的排名进行对比分析，可以发现明显的偏向性变化。在vpnMentor和Wizcase上，Kape的主要竞争对手，如NordVPN和Surfshark，从推荐列表的顶部被移除或降级。与此同时，Kape自家的品牌，特别是CyberGhost和Private Internet Access，其排名则被显著提升，占据了推荐列表的前列 31。这一变化强烈暗示，这些网站的“评测”结果现在更多地是受到公司所有权的驱动，而非基于产品的客观优劣。

以下表格直观地展示了Kape Technologies所构建的庞大网络，揭示了其在产品和媒体两个领域的同时布局。 表格 3.1：Kape Technologies的投资组合：一个由VPN和评测网站构成的网络实体名称类型收购年份收购价格（约）CyberGhost VPNVPN服务20171000万美元 27ZenMate VPNVPN服务2018550万美元 27Private Internet AccessVPN服务20191.276亿美元 27ExpressVPNVPN服务20219.36亿美元 27vpnMentor.comVPN评测网站20211.491亿美元（作为Webselenese的一部分）31Wizcase.comVPN评测网站20211.491亿美元（作为Webselenese的一部分）31

Kape的战略远不止于制造简单的利益冲突，它代表了对整个消费者“信任漏斗”（Trust Funnel）的战略性捕获。从消费者产生需求（寻找VPN），到信息搜集（阅读评测），再到最终决策（购买产品），Kape在每一个环节都施加了控制。它创造了一个自我强化的封闭营销生态系统：消费者在寻找隐私工具时，被Kape拥有的媒体引导，最终选择了Kape拥有的产品。这种模式不仅边缘化了真正独立的竞争对手，也从根本上操纵了市场，使用户的选择自由成为一种幻觉。

更深层次地看，Kape以1.491亿美元收购评测网站的行为，揭示了一个更为深刻的现象：信任本身的商品化。Kape购买的不仅仅是网站，更是这些网站多年来通过内容和搜索引擎优化积累起来的信誉和用户信任 31。这份来之不易的信任，一旦被收购，就立即被转化为一种营销资产，用于推广自家产品，从而将无形的“信任”变成了一种可以在资本市场上被明码标价和交易的商品。这表明，在现代数字市场中，公信力本身可以被购买，并被用作消除竞争、主导话语权的战略武器。

第四部分：防火长城的挑战：为何多数VPN在中国失效

本节将从技术和实践两个层面，深入分析为何在中国使用VPN是一场持续的斗争。我们将揭示西方VPN服务商的营销宣传与中国用户在实地使用时所面临的严酷现实之间的巨大差距，并解释其背后的技术和商业原因。

4.1 封锁的解剖学：防火长城（GFW）的运作机制

中国的防火长城（Great Firewall, GFW）并非一个简单的网站黑名单，而是一个动态、自适应且多层次的复杂审查系统，它采用了多种先进技术来检测和封锁未经批准的网络流量 33。

• 关键技术：

  • IP地址封锁：这是GFW最基础的手段。它维护着一个不断更新的IP地址黑名单，其中包含了已知的VPN服务器地址。一旦某个IP被列入黑名单，从中国境内发往该IP的所有连接都将被阻断。因此，VPN服务商必须以极高的频率更换其服务器IP地址，才能暂时规避这种封锁 35。
  • DNS污染与劫持：GFW能够拦截并篡改DNS（域名系统）查询请求。当用户尝试访问一个被封锁的网站时，GFW会返回一个错误的或无效的IP地址，从而阻止用户连接到真正的服务器。VPN客户端通常会尝试通过自己的DNS服务器来绕过此问题，但这并非总是有效 33。
  • 深度包检测（Deep Packet Inspection, DPI）：这是GFW最强大、最核心的武器。DPI系统能够实时检查流经网络的数据包的内容和元数据，而不仅仅是其头部信息（如IP地址和端口）37。通过复杂的算法和机器学习模型，DPI被训练来识别各种标准VPN协议（如OpenVPN、WireGuard、IPsec）的独特“指纹”或流量模式。这些指纹可以体现在握手过程、加密数据包的大小和发送频率等方面 34。一旦DPI系统识别出VPN流量的特征，它会立即采取行动，如丢弃数据包、重置连接，从而导致VPN连接被中断或速度变得极慢 35。

4.2 伪装的军备竞赛：成功的技术要素

为了战胜DPI的检测，VPN流量不仅需要加密，更关键的是需要伪装（Obfuscation）。伪装技术的目标是将VPN流量变得与普通、无害的网络流量（尤其是无处不在的HTTPS流量）无法区分，从而骗过GFW的审查系统 41。

• 主流伪装技术：

  • 协议模仿：这是最常见的策略。通过在VPN数据包外部再包裹一层SSL/TLS加密，使其在DPI系统看来与访问安全网站（HTTPS）的流量一模一样。由于HTTPS流量占据了互联网流量的绝大部分，GFW无法轻易地大规模封锁这类流量，否则会“误伤”正常的商业和网络活动 42。
  • Shadowsocks：这是一个专为对抗GFW而设计的开源SOCKS5代理协议。它本身并非VPN，但其核心功能就是加密和混淆流量。Shadowsocks非常轻量，其流量特征难以被识别，因此常被用户独立部署在自己的海外服务器上，或被一些VPN服务商集成，作为一种有效的伪装层 42。
  • 流量加扰与随机化：其他技术，如Obfsproxy（源于Tor项目）或OpenVPN Scramble（使用XOR密码），则通过打乱VPN流量的固有模式，或对数据包大小和时序进行随机化处理，使其看起来像无意义的“噪音”，从而干扰DPI系统的模式匹配 41。

这是一场永不停止的“猫鼠游戏”。GFW的DPI系统在不断学习和更新，以识别新的伪装技术。作为回应，VPN服务商也必须持续投入研发，不断更新其伪装协议、轮换服务器IP和证书，才能在这场高科技对抗中保持领先 36。

4.3 审查下的现实：营销与现实的脱节

在VPN的营销世界和中国用户的现实体验之间，存在着一条巨大的鸿沟。

• 联盟营销的叙事：大量的VPN评测网站、科技博客和YouTube频道（其中许多都通过联盟营销链接获得佣金）都在持续地、自信地推荐ExpressVPN、NordVPN、Surfshark等主流西方VPN，称它们是“在中国最好用”、“最可靠”的选择 33。这些内容构成了关于中国VPN的主流话语。

• 来自一线的用户报告：然而，来自中国境内用户的真实反馈，尤其是在Reddit的r/chinalife等社区中2024年至2025年的大量帖子，描绘了一幅截然不同的景象：这些被大力推荐的品牌普遍存在连接失败和性能不佳的问题 52。

  • 用户反复报告称，NordVPN、Surfshark和ExpressVPN“无法可靠工作（如果还能用的话）”，普遍遭遇频繁断线、无法连接服务器、或者连接后速度慢到几乎无法使用等问题 52。
  • 许多有长期在华经验的用户已经放弃了这些主流品牌，转而使用一些规模较小、更专注于中国市场的服务（如LetsVPN、Shadowfly），或者技术能力更强的用户会选择自己租用VPS服务器并搭建Shadowsocks或V2Ray等代理 52。
  • 不稳定性是用户抱怨的核心主题。一个VPN服务可能在某台设备上能用，在另一台上就不能；在上海能用，到广州就失效；今天能用，明天就连接不上。这充分暴露了这些服务商的抗封锁技术在面对GFW持续、动态的压力时是何等脆弱 55。

这种巨大的反差揭示了西方主流VPN服务在应对中国市场时的一个根本性问题：商业模式的错位。这些公司的核心市场是服务于全球大众消费者的地理位置解锁需求（例如，美国用户观看英国Netflix），这是一个技术上相对简单且市场规模巨大的领域。而与一个拥有国家力量支持的审查系统进行高强度的技术对抗，是一个资源消耗巨大、风险高且市场规模相对较小的利基市场。

对于这些公司而言，通过联盟营销渠道来宣传其在中国可用的能力，远比投入巨额、持续的研发和运营资源来真正实现这一能力，在商业上更具成本效益。它们的财务激励是为那99%的大众市场进行优化，同时利用营销手段来吸引那1%的中国市场用户，而无需完全投入必要的资源。这就完美解释了为何评测网站上的溢美之词 48 与Reddit论坛上的怨声载道 54 之间存在如此巨大的鸿沟。

此外，来自用户的报告也揭示了另一个趋势：有经验的用户正从中心化的商业VPN转向去中心化或自托管的解决方案，如在私人服务器上运行Shadowsocks 54。这是因为一个大型商业VPN服务商本身就是一个巨大而显眼的目标。其数千名用户连接到一组已知的服务器IP，产生了具有相似特征的大量流量，这使其成为GFW进行DPI分析的理想目标。一旦GFW识别并封锁了该服务商的IP段或协议特征，其所有用户都会同时受到影响 56。相比之下，一个用户自己租用的VPS服务器是一个微小、分散且不引人注目的目标。其流量模式是独特的，与任何大型VPN品牌都无关，因此更难被GFW发现和封锁，从而提供了更高的稳定性和可靠性。这一用户行为趋势，从根本上揭示了中心化商业VPN模型在面对强大的国家级对手时的内在脆弱性。

结论与对明智用户的建议

本报告通过对免费VPN的商业模式、主流VPN的日志政策、行业内的企业整合以及在严苛审查环境下的实际表现进行深入调查，揭示了VPN行业普遍存在的信任赤字。这一赤字并非孤立事件，而是源于该行业内在的经济激励、营销策略与技术现实之间的系统性矛盾。

• 调查结果总结：

  • 免费VPN的代价：免费VPN并非慈善，其运营成本通过将用户数据商品化、植入广告和追踪器，甚至将用户设备卷入僵尸网络或分发恶意软件来覆盖。使用免费VPN往往意味着以牺牲隐私和安全为代价。
  • “零日志”的虚幻：所谓的“零日志”承诺在法律压力面前往往不堪一击。PureVPN和IPVanish等案例证明，一些服务商不仅保留了足以识别用户的连接日志，甚至可能主动与执法部门合作，这与其隐私至上的营销形象完全不符。
  • 所有权的利益冲突：VPN市场正日益被少数几家大型公司垄断。特别是Kape Technologies，一家有着恶意软件分发历史的公司，如今不仅拥有ExpressVPN、PIA等多个顶级VPN品牌，还控制着本应独立评测这些产品的网站，形成了一个封闭且充满偏见的信息生态系统。
  • 技术能力的夸大：在面对如中国防火长城这样的高级审查系统时，许多广受营销推广的西方主流VPN服务表现得极不可靠。营销宣传与用户的实际体验严重脱节，反映出商业模式与技术投入之间的错位。

综上所述，VPN行业远非其自我标榜的那样纯粹。它是一个复杂的商业领域，充满了需要用户仔细审视的灰色地带。

一个批判性的评估框架

本报告的目的并非推荐某一个“值得信赖”的VPN，因为信任是动态的，且取决于用户的具体需求和风险模型。相反，本报告旨在为用户提供一个批判性的评估框架，以便在选择任何隐私工具时，能够提出正确的问题：

• 它的商业模式是什么？
  • 如果服务是免费的，它究竟是如何盈利的？我是否愿意用我的浏览数据、网络带宽或设备安全来换取这项“免费”服务？[第一部分]
• 它的司法管辖区和法律先例是什么？
  • 该公司总部位于哪个国家？该国的法律是否可能强制公司记录和上交数据（例如，“五眼联盟”国家）？
  • 该公司的“零日志”政策是否经受过现实世界的法律考验？它是否像ExpressVPN那样在服务器被查封后仍能证明其清白，还是像PureVPN和IPVanish那样被发现提供了数据？
  • 它是否发布定期、详细的透明度报告，说明其收到了多少次政府数据请求以及它对此的回应？[第二部分]
• 它的最终所有者是谁？
  • 这个VPN品牌是独立的，还是隶属于像Kape Technologies这样拥有庞大投资组合和争议性历史的大型企业集团？
  • 我获取信息的评测网站是否与我正在考虑的VPN服务存在所有权关联？[第三部分]
• 我的具体威胁模型是什么？
  • 我使用VPN的首要目的是什么？是为了绕过Netflix的地理限制，还是为了在新闻审查严格的国家安全地进行报道？
  • 我所面临的对手是谁？是我的ISP、广告公司，还是一个拥有国家级监控能力的政府？
  • 该服务商的技术实现（例如，是否提供针对DPI的有效伪装协议）是否与我的需求相匹配？[第四部分]

最终声明

真正的数字隐私并非通过购买一个产品就能一劳永逸地实现。它需要持续的警惕、对营销承诺的怀疑精神，以及对我们所使用的工具背后的技术和商业现实的深刻理解。在VPN领域，信任不应被轻易给予；它必须通过无可辩驳的证据、透明的行为和经受住考验的实践来赢得，并需要用户进行持续的验证。

Works cited

• Are Free VPNs Safe and Secure? - ClearVPN Blog, accessed on July 14, 2025, https://clearvpn.com/blog/free-vpns-sell-your-data/
• How do free VPNs make money? | Proton VPN, accessed on July 14, 2025, https://protonvpn.com/blog/how-do-free-vpns-make-money
• How FREE VPNs Sell Your Data | TheBestVPN.com, accessed on July 14, 2025, https://thebestvpn.com/how-free-vpns-sell-your-data/
• Hola (VPN) - Wikipedia, accessed on July 14, 2025, https://en.wikipedia.org/wiki/Hola_(VPN)
• Adios, Hola: Researchers say it’s time to nix the ‘poorly secured’ service - CNET, accessed on July 14, 2025, https://www.cnet.com/news/privacy/security-researchers-claim-hola-operates-as-insecure-botnet/
• Misadventures with Hola service, or A lot of strings attached | Kaspersky official blog, accessed on July 14, 2025, https://www.kaspersky.com/blog/misadventures-with-hola-service-or-a-lot-of-strings-attached/4048/
• www.cyfirma.com, accessed on July 14, 2025, https://www.cyfirma.com/research/github-abused-to-spread-malware-disguised-as-free-vpn/
• GitHub Exploited In Sophisticated Malware Campaign - Cyber Security Intelligence, accessed on July 14, 2025, https://www.cybersecurityintelligence.com/blog/github-exploited-in-sophisticated-malware-campaign-8534.html
• Criminals are using a dangerous fake free VPN to spread malware via GitHub - here’s how to stay safe - TechRadar, accessed on July 14, 2025, https://www.techradar.com/pro/criminals-are-using-a-dangerous-fake-free-vpn-to-spread-malware-via-github-heres-how-to-stay-safe
• AI Assisted Fake GitHub Repositories Fuel SmartLoader and LummaStealer Distribution, accessed on July 14, 2025, https://www.trendmicro.com/en_us/research/25/c/ai-assisted-fake-github-repositories.html
• Cyware Weekly Threat Intelligence, July 07–11, 2025, accessed on July 14, 2025, https://www.cyware.com/resources/threat-briefings/weekly-threat-briefing/cyware-weekly-threat-intelligence-july-07-11-2025
• Study: Many free Android VPN apps not secure | ICSI, accessed on July 14, 2025, https://www.icsi.berkeley.edu/icsi/news/2017/02/android-vpn
• An Analysis of the Privacy and Security Risks of … - CSIRO Research, accessed on July 14, 2025, https://research.csiro.au/ng/wp-content/uploads/sites/106/2016/08/paper-1.pdf
• Court Documents Prove PureVPN Logged User, Despite “No Logs” Claims - CyberInsider, accessed on July 14, 2025, https://cyberinsider.com/vpn-logs-lies/
• Your VPN could be a privacy trap - IAPP, accessed on July 14, 2025, https://iapp.org/news/a/your-vpn-could-be-a-privacy-trap-heres-how-to-protect-yourself
• Your VPN is Lying about its “Zero-Log VPN” (here’s the proof) - All Things Secured, accessed on July 14, 2025, https://www.allthingssecured.com/vpn/truth-about-vpn-logging-policies/
• Why you should be skeptical about a VPN’s no-logs claims - CNET, accessed on July 14, 2025, https://www.cnet.com/tech/services-and-software/why-you-should-be-skeptical-about-a-vpns-no-logs-claims/
• Alleged cyberstalker unmasked by VPN logs - Help Net Security, accessed on July 14, 2025, https://www.helpnetsecurity.com/2017/10/09/cyberstalker-unmasked-purevpn/
• VPN logs helped expose man’s cyberstalking campaign against former roommate, claims FBI - Graham Cluley, accessed on July 14, 2025, https://grahamcluley.com/vpn-logs/
• “No Logs” IPVanish Embroiled in Logging Scandal | Restore Privacy, accessed on July 14, 2025, https://cyberinsider.com/ipvanish-provides-logs-to-authorities/
• IPVanish no user logs claim in doubt after Homeland Security child porn case, accessed on July 14, 2025, https://www.vpncompare.co.uk/ipvanish-no-logs-claim-doubt-homeland-security-child-porn/
• IPVanish - Wikipedia, accessed on July 14, 2025, https://en.wikipedia.org/wiki/IPVanish
• IPVanish “No-Logging” VPN Led Homeland Security to Comcast User | Hacker News, accessed on July 14, 2025, https://news.ycombinator.com/item?id=17254113
• Former Malware Distributor Kape Technologies Now Owns ExpressVPN, CyberGhost, Private Internet Access, Zenmate, and a Collection of VPN “Review” Websites : r/PrivateInternetAccess - Reddit, accessed on July 14, 2025, https://www.reddit.com/r/PrivateInternetAccess/comments/q3oye4/former_malware_distributor_kape_technologies_now/
• The Safest VPN Apps: An Overview of the Present and Future - Protectstar.com, accessed on July 14, 2025, https://www.protectstar.com/en/blog/the-safest-vpn-apps-an-overview-of-the-present-and-future
• Malware distributor bought up Private Internet Access and ExpressVPN - Linus Tech Tips, accessed on July 14, 2025, https://linustechtips.com/topic/1381857-malware-distributor-bought-up-private-internet-access-and-expressvpn/
• 3 companies control many big-name VPNs: What you need to know - CNET, accessed on July 14, 2025, https://www.cnet.com/tech/services-and-software/3-companies-control-many-big-name-vpns-what-you-need-to-know/
• Taking a Closer Look Kape Technologies, Crossrider, and Malware, accessed on July 14, 2025, https://cyberinsider.com/kape-technologies-crossrider-malware/
• Beware of shady VPN corporate ownership - Security Conversations, accessed on July 14, 2025, https://securityconversations.com/beware-of-shady-vpn-corporate-ownership/
• This article and articles like this miscast Kape in an incorrect light. To be cl… - Hacker News, accessed on July 14, 2025, https://news.ycombinator.com/item?id=21679885
• These VPN “Review” Websites are Actually Owned by VPNs, accessed on July 14, 2025, https://cyberinsider.com/vpn-review-websites-owned-by-vpns/
• Former malware distributor buys ExpressVPN, CyberGhost etc. | Born’s Tech and Windows World - BornCity, accessed on July 14, 2025, https://borncity.com/win/2021/10/21/frherer-malware-vertreiber-kauft-expressvpn-cyberghost-und-co/
• Best VPN for China: Only 5 Still Work (July 2025) - CyberInsider, accessed on July 14, 2025, https://cyberinsider.com/vpn/best/china/
• How the Great Firewall of China Affects Performance of Websites Outside of China, accessed on July 14, 2025, https://www.dotcom-monitor.com/blog/how-the-great-firewall-of-china-affects-performance-of-websites-outside-of-china/
• Can You Use a VPN in China in 2025 (Full Guide) - The Food Ranger, accessed on July 14, 2025, https://www.thefoodranger.com/can-you-use-a-vpn-in-china/
• B2B use of VPN in China: How to Get Around Issues - Teridion, accessed on July 14, 2025, https://www.teridion.com/blog/china-connectivity/use-of-vpn-in-china/
• What is deep packet inspection? - Proton VPN, accessed on July 14, 2025, https://protonvpn.com/blog/deep-packet-inspection
• Deep packet inspection - Wikipedia, accessed on July 14, 2025, https://en.wikipedia.org/wiki/Deep_packet_inspection
• What is deep packet inspection? - Tom’s Guide, accessed on July 14, 2025, https://www.tomsguide.com/computing/vpns/what-is-deep-packet-inspection
• VPN Obfuscation - A Deep Dive into Censorship-Resistant VPNs - PureVPN, accessed on July 14, 2025, https://www.purevpn.com/white-label/vpn-obfuscation/
• Obfuscated VPN Protocols: How They Work and Why They Matter - COIN.HOST, accessed on July 14, 2025, https://coin.host/blog/obfuscated-vpn-protocols-how-they-work-and-why-they-matter
• VPN Obfuscation (Full Guide for Beginners) - CactusVPN, accessed on July 14, 2025, https://www.cactusvpn.com/beginners-guide-to-vpn/vpn-obfuscation/
• What is obfuscation? Everything you need to know about VPN obfuscation technology | TechRadar, accessed on July 14, 2025, https://www.techradar.com/vpn/vpn-obfuscation-technology-what-it-is-and-when-you-should-use-it
• What Is an Obfuscated VPN, and When Should You Use One in 2025?, accessed on July 14, 2025, https://www.privateinternetaccess.com/blog/what-are-obfuscated-servers/
• Understanding Shadowsocks: How It Functions vs VPNs - OnlineProxy.io, accessed on July 14, 2025, https://onlineproxy.io/blog/shadowsocks-what-it-is-how-it-works-comparison-with-vpn
• 8 Best VPN For China 2025 (Still Working July 2025!) + Discounts! - The Food Ranger, accessed on July 14, 2025, https://www.thefoodranger.com/best-vpn-for-china/
• The best VPN for China in 2025 - TechRadar, accessed on July 14, 2025, https://www.techradar.com/news/best-vpn-for-china-our-5-top-choices
• Best VPN for China: Still working in 2025 - Comparitech, accessed on July 14, 2025, https://www.comparitech.com/blog/vpn-privacy/whats-the-best-vpn-for-china-5-that-still-work-in-2016/
• Does ExpressVPN Work in China in 2025? (or any VPN for that matter), accessed on July 14, 2025, https://www.travelchinacheaper.com/vpns-still-work-china
• Best VPN for China in 2025 (+ my strategy to use them), accessed on July 14, 2025, https://www.travelchinacheaper.com/best-vpn-for-china
• Best VPN for China 2025: Top VPNs That Actually Work in China - VPNDada, accessed on July 14, 2025, https://www.vpndada.com/best-vpns-for-china/
• VPN Megathread – July 2025 : r/chinalife - Reddit, accessed on July 14, 2025, https://www.reddit.com/r/chinalife/comments/1los59l/vpn_megathread_july_2025/
• VPN Megathread - January 2025 : r/chinalife - Reddit, accessed on July 14, 2025, https://www.reddit.com/r/chinalife/comments/1hrlmd7/vpn_megathread_january_2025/
• Working VPNs for China - Read Me First! : r/chinalife - Reddit, accessed on July 14, 2025, https://www.reddit.com/r/chinalife/comments/187vfnl/working_vpns_for_china_read_me_first/
• VPN Megathread – May 2025 : r/chinalife - Reddit, accessed on July 14, 2025, https://www.reddit.com/r/chinalife/comments/1kbzueo/vpn_megathread_may_2025/
• VPN Megathread - October 2024 : r/chinalife - Reddit, accessed on July 14, 2025, https://www.reddit.com/r/chinalife/comments/1fu70lq/vpn_megathread_october_2024/
• VPN Megathread - February 2025 : r/chinalife - Reddit, accessed on July 14, 2025, https://www.reddit.com/r/chinalife/comments/1ifp8kh/vpn_megathread_february_2025/