CVD 协议引入引发争议：订阅安全升级，

CVD 协议引入引发争议：订阅安全升级，还是设备身份暴露与反自由使用隐患

开源代理客户端 Clash Verge Rev 在 dev 分支引入一项新的订阅安全机制：CVD，即 Clash Verge Device-binding Protocol，试图解决传统订阅 URL 一旦泄露即可被长期复制、批量滥用的问题。新方案让客户端生成设备密钥，通过请求头上报公钥，服务端再按设备加密下发订阅，并可限制设备数量、解绑旧设备、拒绝超额访问。

但社区也有在讨论代价：CVD 会引入新的可识别信息。设备公钥虽不等同于真实身份，却可成为长期稳定标识；若服务端结合 IP、User-Agent、更新时间、失败记录和设备数量，便可能形成订阅侧指纹画像。对于代理届这种需要高度匿名与反追踪需求的场景而言，CVD 引入带来了一些身份隐私风险。同时，CVD 若被服务端强制启用，可能削弱第三方客户端、脚本备份和跨设备同步能力，使订阅访问更依赖特定客户端实现。

当然，目前方案处于草创阶段，并没有实际运用，方案本身大部分也由 Ai 所撰写完成，具体可行性需要社区完整讨论与分析。

关联 Git 提交