Cure53 完成 Tor VPN 安全稽核
以下內容原文翻譯來自以下文章,主詞角色為 Tor Project:
Tor Project 持續拓展行動隱私防護的工具版圖,TorVPN 是其中一項重要計畫:讓 Tor 的保護能力更容易被一般行動用戶所使用,同時維持強健的安全保障。2025 年 6 月,知名資安公司 Cure53 受委託,對 TorVPN Android 版及其底層網路元件進行了滲透測試與原始碼稽核。這份報告於 2026 年 4 月 15 日正式公開。
更新¶
《虛擬資產服務法》草案:行政院通過了什麼,還差什麼
2026 年 4 月 2 日,行政院第 3996 次會議通過金融監督管理委員會擬具的《虛擬資產服務法》草案,將函請立法院審議。對關心加密資產與支付工具的人來說,這代表台灣從洗錢防制下的 登記制,要往 許可制 再跨一大步。下面整理草案在公開整理本裡寫得清楚的部分,並說明「通過院會」和「法律上路」中間還隔著立法院。
本文僅供資訊整理與公共討論,不提供法律意見。具體要件與刑度請以未來三讀條文與子法為準。
OONI 新版 Probe Desktop 測試邀請
OONI 團隊推出了新的跨平台 OONI Probe Desktop 應用程式,並內建全新的儀表板介面。團隊希望邀請大家協助測試。
你可以在這裡下載新版的內部測試版:OONI Probe Desktop v6.0.1(GitHub Releases)
根據你的測試結果,可以用下列方式向團隊提供意見:
- 若在程式中遇到問題,請透過應用程式提交錯誤回報。這樣團隊才能一併取得應用程式紀錄,方便排查。
- 若有其他不像是單一程式錯誤的回饋,可寫信至 [email protected]。
- 若你使用 GitHub,也可在專案中開 issue:ooni/probe-multiplatform/issues
為了協助團隊排查問題,回報時請一併附上下列資訊(可直接複製後填寫):
- PLATFORM(例如 macOS、macOS Sonoma、Tahoe、Windows 10、Windows 11 等):
- MODEL(例如 MacBook Pro、MacBook Air、iMac、Mac mini、Mac Studio 等):
- OS Version(例如 12.2.1、13.5、14.3.1、22H2、23H2、21H2 等):
感謝你的協助與回饋。
~ OONI 團隊
一台會遺忘的伺服器:探索 Stateless Relays
以下內容原文翻譯來自以下文章,主詞角色為 Tor Project 與本文作者群:
文末另有一節「台灣在地觀點」,整理這篇文章可延伸的本地討論方向,歡迎直接跳讀。
營運 Tor relay 需要長期對抗敵手,這些敵手可能來自私人勢力,也可能來自國家級體系,目標是破壞整體網路,由攻擊其中的節點開始。此外,有些營運者還得面對扣押、搜查,或硬體遭到直接實體接觸。這些情況在奧地利、德國、美國、俄羅斯 都有先例,也很可能不只這些地方。在這些案例裡,伺服器本身就可能變成風險來源。
Tor 之所以存在,是因為我們希望保護網路使用者,免於不必要的監控。Tor 網路的設計前提是:任何單一營運者或單一伺服器,都不應該能重建「誰正在和誰通訊」。記者、行動者、吹哨者都仰賴這個前提成立。若 relay 被扣押後可交出內容,就會侵蝕整個系統所依賴的信任,而這正是我們想解決的問題。
在這篇文章裡,我們會探索無狀態、無磁碟作業系統如何提升 relay 安全,範圍從韌體一路到使用者空間,重點放在軟體完整性與對實體攻擊的抵抗能力。這份工作來自 Osservatorio Nessuno 在義大利營運出口 relay 的經驗。relay 管理方式會因地區、技術能力、預算與司法環境而有很大差異。我們希望推動的是討論,而不是提出唯一解法。
Arti 2.2.0 釋出:HTTP CONNECT、RPC 與 relay 開發進展
以下內容原文翻譯來自以下文章,主詞角色為 Tor Project:
Arti 是 Tor Project 正在以 Rust 開發的新一代 Tor 實作。2.2.0 版的核心重點,是把先前偏實驗性的連線方式推向更可實用的狀態:HTTP CONNECT 現在在完整建置中可用,並預設啟用。此外,RPC 客戶端與管理能力也有明顯升級,並同步修補一項低嚴重度安全議題。
對在企業網路、校園網路或公共網路中使用 Tor 的人來說,HTTP CONNECT 的可用性提升很關鍵;對整合 Arti 到既有服務的開發者來說,RPC 的非阻塞與事件迴圈整合也能降低實作成本。整體來看,這是一個把「可部署性」與「可維運性」一起往前推的版本。
2026/03 社群近況更新
感謝 Tor Project 的邀約,讓我們匿名網路社群有機會分享在學術網路上架設 Tor Relay(中繼點)的經驗。
Tor Project 的官方網站 Blog 文章 Setting up a Tor Relay at a university in Taiwan 中,我們分享了在台灣師範大學架設 Tor Relay 的經驗,以及如何與學校溝通、留下可能性的實作經驗。
感謝來自 Tor Project 的 Pavel 與 Roger 給予我們的幫助,讓我們有這個機會透過客座文章的方式分享我們的經驗。
Tails 7.6 發佈說明
Tails 7.6 於 2026 年 3 月 26 日公告。此版在對抗網路審查與桌面整合兩方面都有可感知的改動:Tor 連線流程可直接協助你取得橋接器;密碼管理則改由 GNOME Secrets 擔綱,取代內建的 KeePassXC。
新功能
自動 Tor 橋接器
你現在可以在 Tails 的 Tor 連線助理裡,直接了解什麼是 Tor 橋接器(Tor bridges)。
Tor 橋接器是不公開列舉的 Tor 中繼站,用來隱藏你正在連線到 Tor 的事實。若你所在網路會封鎖連到 Tor,可以把橋接器當成進入 Tor 網路的第一站,藉此繞過審查。
在 Tails 7.6 中,開啟 Tor 連線時可選擇 自動連線到 Tor(Connect to Tor automatically)。若無法直接連上 Tor 網路,橋接設定畫面會多一項 依你所在區域請求 Tor 橋接器(Ask for a Tor bridge based on your region)。
此功能與 Tails 以外的 Tor Browser 自 11.5 版起(2022 年 7 月)在連線助理採用的技術相同。Tails 會透過 Tor Project 的 Moat API 下載較可能在你所在區域有效的橋接資訊;為了規避審查,這段連線會以 網域前置(domain fronting)偽裝成連向其他網站。
給台灣以及東亞/東南亞各地的讀者:各地的審查模式不盡相同,但套路往往似曾相識,包括 TLS 攔截、路由上的花招,或是只對部分應用程式「看似放行」的軟性封鎖。若 Tails 映像能在產品介面內直接呈現取得橋接器的流程,就能降低門檻,減輕記者、律師與公民社會志工在承擔營運風險之餘,還得從部落格文章背下整套橋接流程的負擔。
GNOME Secrets
在 Tails 7.6 中,Secrets 密碼管理器取代 KeePassXC。
Secrets 介面較簡潔,且與 GNOME 桌面整合較佳;例如螢幕小鍵盤、游標大小等無障礙相關功能,在 Secrets 上可再次正常搭配使用。
Secrets 與 KeePassXC 使用相同的檔案格式儲存密碼,因此可自動嘗試解鎖你先前在 KeePassXC 使用的資料庫。若你仍需要 KeePassXC 的進階功能,可將 KeePassXC 安裝為附加軟體。
Secrets 主要快捷鍵與 KeePassXC 類似,並多搭配 Shift(與 Ctrl 併用):
- Shift+Ctrl+C:複製密碼
- Shift+Ctrl+V:複製網址
- Shift+Ctrl+B:複製使用者名稱
- Shift+Ctrl+T:複製一次性密碼(OTP)
若要查看 Secrets 的完整快捷鍵列表,請按 Ctrl+?。
用 ADR 記錄決策:Tor 系統管理團隊的新做法
以下內容原文翻譯來自以下文章,主詞角色為 Tor Project TPA 團隊:
文末另有一節「台灣專案與社群的現況」,整理台灣在地脈絡與為什麼值得引進 ADR,歡迎直接跳讀。
在 Tor Project 的系統管理員團隊(俗稱 TPA)裡,我們最近改變了做決策的方式,這代表你會從我們這邊收到更清楚的溝通:無論是即將進行的變更,或是針對某項提案的具體問題。
請注意,這項變更只影響 TPA 團隊。在 Tor 內部,每個團隊都有自己協調與決策的方式,目前這套流程只在 TPA 使用。我們鼓勵 Tor 內外其他團隊評估這套做法,看看是否能改善你們的流程與文件。
Arti 2.1.0 更新發佈
以下內容原文翻譯來自以下文章,主詞角色為 Tor Project:
Arti 是我們正在進行中的專案,用於使用 Rust 開發新一代的 Tor 使用者端。我們現在很高興宣布最新版本 Arti 2.1.0 的釋出。
在這個版本中,我們投入了大量與中繼(relay)支援與 RPC 開發相關的工作。雖然 Arti 目前仍然無法作為 Tor 中繼節點使用,但我們已經看到穩定的進展,離讓開發者在中繼角色上測試 Arti 越來越近。同時,我們也對設定系統做了全面翻新,引入基於 derive-deftly 的新架構,讓未來擴充與維護 Arti 的設定更為容易。
本次更新也包含多項錯誤修復、程式碼清理,以及我們 CI 基礎設施的改進,為未來的開發鋪平道路。
從 Discord 年齡驗證談起:我們為什麼自架 Matrix
2026/02/09,Discord 宣布在全球推出「teen-by-default」設定,並強化年齡驗證機制(台灣報導見 巴哈姆特 GNN:Discord 宣布 3 月起全球實施「青少年保護」措施)。新使用者與既有使用者將預設進入以青少年為考量的體驗,若要解除部分內容過濾或存取年齡分級空間,需透過臉部年齡估計或提交證件等方式完成驗證。Discord 強調這是為了青少年安全與 Safer Internet Day 的承諾,也提到會引入「年齡推論模型」在背景協助判斷帳號是否屬於成人。
我們無意批評 Discord 的初衷,青少年保護與合規是嚴肅議題。但這類機制也代表一件事:大型平台會需要更多個人資料與行為訊息來「分類」使用者。不論是臉部影像、證件、或是演算法推論,最終都是把「你是誰、你幾歲、你在哪裡」交給平台與其合作廠商。對許多只想安心聊天、玩遊戲、或參與專案的人來說,這可能是可接受的取捨。對另一群人來說,卻會開始思考:有沒有別的路?
我們真正在意的是:誰決定規則、誰拿走資料
商業聊天平台有其遊戲規則:服務條款、產品方向、哪些資料被保留、演算法如何運作,多半由公司與股東決策驅動,一般使用者難以參與,也難以完全掌握自己的資料如何被使用。這個問題的核心是誰有權決定,並非「誰比較壞」。
匿名網路社群 anoni.net 選擇的是另一條路:自架 Matrix 家伺服器(homeserver)。我們使用 tuwunel 這套以 Rust 撰寫、高效能且符合 Matrix 規範的 homeserver,在 im.anoni.net 上承載社群討論與 2026 主題協作。伺服器設定、紀錄保存策略、頻道規則,由維運者與社群成員一起決定,範圍小、可預期、也相對透明。我們的核心很明確:圍繞網路自由、匿名網路、隱私實踐,而不是「任何人進來隨便聊什麼都好」。這裡是一個有主題、有共識的工作空間。