总结一下： 🔸 声称自己发现了 VLESS / XTLS / REALITY 这一类协议的“致命漏洞”，可以近乎 100% 准确识别相关代理流量，且误判率极低。作者还声称，如果将 PoC 部署在路由设备或旁路网络节点上，可提取用户端及服务端 IP。 🔸 强烈批评 RPRX 及其主导的协议宣传，认为其夸大“前向安全”“隐蔽性”“TLS in TLS”等问题，把普通 TLS 本身具备的能力包装成独家优势。 🔸 认为 R 协议的双栈 TLS / 回落设计反而制造了更强的可识别特征，使其比普通 TLS 代理更容易被审查系统精准探测。 🔸 README 里没有直接公开漏洞细节，而是设定了一个期限：UTC+8 2026-05-11 15:00。作者说如果 RPRX 不公开道歉并撤回过往言论，就会在仓库里发布 PoC。 🔸 作者建议现有 R 协议用户尽快迁移到其他协议，并把这次披露包装成一次对社区生态、协议宣传和个人崇拜的反击。 R 佬也回应了： 🔹 RPRX 认为那篇“檄文”里有大量基础性错误，尤其是对网络流量、TLS、REALITY 工作方式的理解不准确，所以不把它当成严肃漏洞分析。 🔹 他认为对方很多指控是捏造他说过的话、曲解他的行为，或者先假设他有恶意再解读。 🔹 没有否认 REALITY 可能有特征问题，比如 DNS/IP/ASN 不匹配、端口转发痕迹、server handshake 分包/粘包、后续流量是否像真实浏览器访问目标站等。 🔹 “有特征”不等于“协议方向错了”。任何协议在发展中都会暴露实现特征，发现问题可以修，但不能因此否定 REALITY 想解决旧协议痛点的方向。 🔹 GFW 越来越像白名单系统，过去 SS、Trojan、TLS-based 方案不断被封，说明审查在升级。以后可能不只是看协议，还会看 SNI、IP、DNS 解析、ASN、访问行为是否合理。 🔹 在他看来，REALITY 不是为了做到“绝对不可识别”，而是在普通 TLS、普通 SNI、TLS-in-TLS 等方案逐渐不够用时，提供一个还能部署、还能用的方向。 🔹 用户迁移不是因为他宣传，而是因为旧协议失效。人们从 SS 转到 TLS-based、从 Trojan 转到 REALITY/Vision，主要原因都是旧方案被 GFW 封了，而不是因为他个人推动。 🔹 SNI 白名单之后还会有 IP 层面的封锁问题，所以后续方向包括 XHTTP + domain fronting、XDRIVE、REALITY IP 加密更新等。