Proxymate

您的 Mac。您的流量。您的规则。

一款面向 macOS 的隐私优先 **菜单栏 HTTP/HTTPS/SOCKS 代理**，内置 WAF、透明 TLS 拦截、AI 代理控制、凭证泄露扫描器以及多上游池路由。零遥测、零云端账户，Apple 签名并公证。 📖 **完整文档：** [fabriziosalmi.github.io/proxymate](https://fabriziosalmi.github.io/proxymate/) ## 安装 ### Homebrew（推荐） ``` brew tap fabriziosalmi/proxymate brew install --cask proxymate ``` ### DMG 从 [发布页面](https://github.com/fabriziosalmi/proxymate/releases/latest) 下载最新的 `Proxymate-.dmg`，验证哈希值，然后拖拽到 `/Applications`： ``` shasum -a 256 ~/Downloads/Proxymate-*.dmg # 与发布说明中打印的 SHA-256 进行比较 ``` 该 DMG 已公证并附带签名——不会出现“无法验证开发者”对话框。需要 macOS 26（Tahoe）或更高版本，Apple Silicon。 ## 功能 **流量路由** — 本地 HTTP/HTTPS 正向代理（loopback 绑定端口）、SOCKS5 监听器、带可选 MITM 拦截的透明 CONNECT 隧道。 **过滤** — 阻断域名 / 阻断 IP（CIDR）/ 阻断内容（Aho-Corasick）规则。内置 19 个精选黑名单订阅（约 9 万条条目，涵盖广告、恶意软件、钓鱼、TOR 出口节点）。规则编写时的影子模式评估可在不中断流量的情况下测试规则。 **隐私重写** — 剥离 `User-Agent`、`Referer`、`ETag`、追踪 Cookie；注入 `DNT: 1` / `Sec-GPC: 1`。支持按主机配置策略。 **TLS 拦截** — 每次安装生成受 AES-256 加密的根 CA 证书（钥匙串绑定密码短语）；叶证书按需伪造，通过内嵌的 `mitmproxy` 侧车程序实现。自动排除固定证书的应用（Signal、WhatsApp、银行类应用、Apple 服务）。 **AI 代理控制** — 检测 Claude Code、Cursor、Codex、Aider、MCP 客户端。跟踪 11 个提供方的令牌用量，估算成本，执行每模型允许列表，阻断失控循环。 **威胁检测** — beaconing 启发式检测、C2 框架指纹识别（Cobalt Strike、Sliver、Mythic、Havoc、Empire、Metasploit）、带 7 套模式包的凭证泄露扫描器。 **路由** — 多上游池支持 6 种负载均衡策略，每池健康检查，故障时自动熔断。 **其他功能** — 支持 PAC 智能旁路的 PAC 服务器、DoH 解析器、L1 内存与 L2 SQLite 缓存、Prometheus 指标端点、Webhook 事件、规则集的 iCloud 同步、带轮转的持久化 JSONL 日志。 如需更深入的介绍，请查阅 [功能概览](https://fabriziosalmi.github.io/proxymate/guide/features)。 ## 快速开始 1. 安装 DMG，从 `/Applications` 启动 2. 菜单栏图标 → **启用**（一次管理员密码提示，用于 `networksetup`） 3. 在 **偏好设置 → MITM** 中安装根 CA（另一次钥匙串信任提示） 4. 观察 **日志** 标签页；所有应用的流量现已通过 Proxymate 路由 五步引导向导提供合理默认设置，首次启动体验可在约 30 秒内完成。 ## 隐私 - **零遥测。** 二进制文件中不包含任何分析端点。 - **零云端账户。** 无需登录、无需注册、无任何服务端组件。 - **仅本地数据。** 所有数据仅保存在 `~/Library/Application Support/Proxymate/` 和你的登录钥匙串中。 - **仅主动外联：** 你选择加入的黑名单更新地址、你自选的 DoH 解析器。 有关威胁模型与 CA 生命周期的详细说明，请查阅 [安全模型](https://fabriziosalmi.github.io/proxymate/guide/security)。 ## 从源码构建 ``` git clone https://github.com/fabriziosalmi/proxymate.git cd proxymate open proxymate.xcodeproj # ⌘R 运行 Debug 构建 ``` 若要构建带有公证流水线的签名发行版： ``` ./scripts/build-dmg.sh # requires Developer ID + notarytool credentials ./scripts/build-dmg.sh --skip-notarize # local ad-hoc DMG ``` ## 架构 ``` App traffic → System proxy → LocalProxy (loopback, random port) ├─ Allowlist (CIDR + domain) ├─ WAF (domain / IP / content) ├─ Blacklist feeds (19 sources) ├─ DNS-resolved IP blocklist ├─ Exfiltration scanner ├─ C2 / beaconing detection ├─ AI agent enforcement ├─ Privacy header rewriting ├─ L1 RAM / L2 SQLite cache └─ PoolRouter → upstream ``` 单进程架构。基于 Network.framework 与 swift-nio。无第三方框架、无后台守护进程、热路径上无外部进程。MITM 使用按需触发的签名 `mitmproxy` 侧车程序。 ## 测试 ``` # 单元测试 + 集成测试（XCTest） xcodebuild test -project proxymate.xcodeproj -scheme proxymate \ -destination 'platform=macOS' -parallel-testing-enabled NO # 针对正在运行的实例运行完整的端到端套件 ./scripts/e2e-full.sh # 基线：22 通过 / 0 失败 / 2 跳过 ``` 端到端测试套件通过真实监听器与 Squid 上游对每一项主要能力进行验证：HTTP 与 HTTPS CONNECT、隐私头注入、WAF 阻断、缓存命中、1 MB 载荷完整性、20 路并发、延迟上限。 ### 站点兼容性排查 当用户报告“站点 X 无法工作”时，基于 Playwright 的测试工具（在 `tests/site-compat/` 下）可在单命令内复现问题，并与实时代理日志交叉引用，将失败主机分类为 **BYPASS**（未到达代理）、**PROXY_ERROR**（到达代理但出错）或 **BROWSER**（代理成功；问题出在浏览器端）： ``` ./scripts/diagnose-site.sh https://example.com # single URL ./scripts/diagnose-site.sh --suite --mitm on # full suite ./scripts/diagnose-site.sh --compare proxy-mitm-off proxy-mitm-on # MITM-only regressions ``` 请参阅 [`tests/site-compat/README.md`](tests/site-compat/README.md) 了解模式、信号与校准说明。 ## 安全 若发现敏感问题，请通过 GitHub Security Advisories 或邮件（详见 `SECURITY.md`）私下报告。请勿针对疑似漏洞公开创建问题。 ## 许可证 MIT — 参见 [LICENSE](LICENSE)。 _{由意大利一人为希望了解 Mac 实际在网络上发送什么内容的用户打造。无风投、无 A 轮融资、无增长黑客。}

标签：AI代理, AI代理控制, AppImage, Apple Silicon, Apple公证, DMG, Homebrew, HTTPS代理, HTTP代理, macOS 26+, MacOS取证, MITM, SOCKS5代理, WAF, Web应用防火墙, 不弹出开发者验证, 代理, 凭据窃取扫描, 多上游池路由, 威胁情报, 开发者工具, 循环绑定, 无文件攻击, 本地代理, 流量控制, 网络安全, 自定义请求头, 菜单栏, 透明TLS拦截, 隐私保护, 零遥测