Surge 官方回应 VLESS 协议：因非标准 TLS 设计增加维护风险，暂不合并

Surge 开发者近日就用户长期请求的 VLESS 代理协议支持一事发布正式说明。核心结论：尽管已完成实验性实现，但因 VLESS 协议族对 TLS 标准分层边界的改变过大，目前不会合并至正式版。

为什么 VLESS 与其他协议不同

加密代理协议社区近年来涌现了大量新设计——从 Shadowsocks 到 Trojan、ShadowTLS、TUIC、Hysteria、AnyTLS，不同开发者在开放讨论中持续推动技术演进。Surge 团队表示，他们与部分协议作者保持着良好的私下沟通，也乐于支持成熟稳定的新协议。

然而 VLESS 的情况比较特殊。该协议及其变体（如 XTLS/Vision）改变了传统 TLS 的分层边界：支持它需要对 OpenSSL 或 BoringSSL 等上游 TLS 库进行定制化修改。这意味着后续无法直接跟随上游安全更新，同时增加了 TLS 子系统的复杂性与安全评估成本。

具体而言，XTLS 将 TLS 从端到端数据保护层重新定位为会话引导机制，把完整性保障从标准协议层转移到应用自定义的数据路径上。这种跨层设计降低了安全边界的可验证性。

对比：标准 TLS 协议阵营

Surge 官方特别指出，Trojan、TUIC、Hysteria、TrustTunnel、AnyTLS 等协议均建立在标准 TLS 实现之上。标准 TLS 经过长期实践验证，是目前应用最广泛且成熟度最高的加密隧道方案。相比之下，VLESS 协议特性更新频繁，且缺乏稳定可依赖的文档规范。

实验性实现已完成

值得一提的是，Surge 团队实际上早已完成了 VLESS 协议的实验性实现代码。但"代码完成"并不等于"产品就绪"——将非标准 TLS 修改合并进主分支，意味着要把维护风险和潜在不稳定性带给所有用户，这不符合 Surge 对产品稳定性的要求。

未来仍有可能

Surge 团队并未完全关闭大门，表示如果 VLESS 最终被广泛采纳、产生明显优势于其他 TLS 类协议、或有了完整的协议规范，会第一时间重新评估。同时官方承诺：如果未来决定加入 VLESS 支持，将作为免费更新推出，不存在商业层面的阻碍。Mac 用户目前可以通过 External Proxy Program 机制先行使用。

来源：Surge TestFlight Feed