Clash Verge 在 macOS 上提示系统扩展被阻止？隐私与安全性里放行步骤

发生了什么：为什么一开 TUN 就谈「系统扩展」

在 macOS 上，Clash Verge（以及同类基于 Mihomo 内核的图形客户端）若要启用 TUN 模式，往往需要在系统里注册网络扩展（Network Extension）或相关系统扩展（System Extension）组件，用来创建虚拟网卡、配合内核把符合策略的流量导入用户态代理。这与仅在应用内监听本地 Mixed 端口、再靠「系统代理」把浏览器指过去，是两条完全不同的权限路径。

从 Ventura 及后续版本开始，Apple 对未在首次加载时立即得到用户明确同意的内核侧／系统扩展类组件会相当严格：你可能会看到通知中心或客户端内提示「系统扩展已被阻止」（英文界面类似 “System Extension Blocked”），也可能没有任何夸张弹窗，但 TUN 开关一拨就失败、日志里出现扩展未加载之类描述。

很多用户会误以为「节点坏了」或「配置文件写错」。若此时仅用系统代理仍能上网，而一开 TUN 就异常，应优先把排查焦点放在隐私与安全性里是否还有待处理的允许操作，以及是否缺少重启，而不是先去大改规则文件。

动手前：先缩小问题范围

建议按下面顺序自检，避免把「权限未放行」误判成「规则或 DNS 故障」。

1. 确认客户端与内核版本：刚完成大版本升级或首次安装后，最容易触发扩展重新签名与重新授权流程。
2. 在关闭 TUN 的情况下验证节点：仅开系统代理或端口代理，确保订阅与规则本身可用；可参考本站 《开全局后只有浏览器通？》 中的分层思路。
3. 暂时退出其他 VPN 或过滤类软件：多个网络扩展争用路由或过滤位时，后装的组件可能反复加载失败，表现为 TUN 无法稳定启用。
4. 若设备受公司 MDM 管理：策略可能禁止用户自行批准某些系统扩展，此时界面上可能根本没有「允许」按钮，需要与管理员确认白名单。

逐步操作：在「隐私与安全性」里放行

以下路径以较新的 macOS「系统设置」为准；若你仍在使用「系统偏好设置」旧版界面，请到「安全性与隐私」中的「通用」页寻找同类按钮，语义一致。

第一步：打开系统设置并进入隐私与安全性

点击屏幕左上角苹果菜单，选择系统设置（部分旧版本为「系统偏好设置」）。在左侧边栏找到并进入隐私与安全性。这里集中管理摄像头、麦克风、完全磁盘访问权限，以及与本题相关的开发者工具与系统扩展提示。

第二步：寻找「已被阻止的系统扩展」或开发者提示条

当你刚刚尝试过在 Clash Verge 里开启 TUN，或安装程序刚写入扩展，页面中下部常会出现一条浅色提示带，大意是某开发者的系统扩展已被阻止，右侧附带允许或打开安全性偏好设置之类操作。请点击允许（英文为 “Allow”）。若当时错过了通知，可重新在客户端里开关一次 TUN，再回到本页，提示往往会重新出现。

若看不到任何提示，可尝试在隐私与安全性页面上下滚动完整浏览一遍；少数情况下，相关项会出现在「安全性」小节的二级区域，而不是页面最顶端。

第三步：按系统要求重启（不要跳过）

对系统扩展类组件，macOS 经常要求重启 Mac后扩展才会真正加载到内核路径。若你点了允许但立刻回去开 TUN 仍失败，先完成一次完整重启再试。睡眠唤醒与「重新登录」并不总等同于文档意义上的重启。

第四步：回到 Clash Verge 再次启用 TUN

重启完成后，先正常启动 Clash Verge，确认内核无报错，再在设置中打开 TUN 或等价开关。此时客户端应能创建虚拟网卡；若仍失败，请打开客户端日志，留意是否仍提示扩展被拒绝，或是否与其他安全软件冲突。

图形界面各版本菜单名称可能略有差异，但整体流程与本站 《Clash Verge Rev 使用教程》 中的代理模式章节一致，可交叉对照。

不同提示文案：「开发者」与「网络」相关项

实际界面可能因系统语言与具体组件类型显示不同副标题，例如强调来自某开发者的系统软件或网络扩展。对用户而言，判断标准可以简化为：凡是与 Clash Verge 安装包签名方相关、且在开启 TUN 后新出现的阻止项，都应在本机个人可自主决策的前提下予以允许。

若你使用第三方安全套件或「清洁」类工具，它们有时会回滚系统扩展策略；放行后若再次被锁，需要检查这些工具的策略库或排除列表。

如何验证 TUN 真的在工作

仅看到开关变蓝并不够，建议用现象与工具交叉确认流量是否进入 TUN 管道。

• 客户端连接列表：开启 TUN 后，原本不走系统代理的终端或应用，其连接应出现在 Mihomo 日志或连接视图中；若仍完全空白，可能仍停留在端口代理路径。
• 系统网络接口：在「系统设置 → 网络」中有时可看到新增的 utun 类或客户端命名的虚拟接口（具体名称因版本而异）；若完全无变化且 TUN 报错，回到扩展授权流程。
• 命令行快速嗅探：在终端使用依赖 DNS 或直连的测试命令（如访问某公共检测站），对比仅系统代理与开启 TUN 两种情况下出口 IP 是否按规则变化；注意命令行默认不走「系统代理」环境变量时，TUN 的差异应更明显。

更系统的 TUN 原理、与 DNS 和 fake-ip 的关系，见本站 《Clash TUN 模式完全指南》；本文刻意聚焦在 macOS 上系统扩展被阻止这一前置门槛，避免与泛化长文重复。

仍失败时：按优先级继续排查

重新安装或覆盖安装客户端

若扩展签名更新后旧记录卡住，可尝试退出应用、删除应用后从可信渠道重新安装，再重复「触发阻止 → 隐私与安全性允许 → 重启」循环。操作前注意备份自己的配置文件与订阅链接。

路由与多 VPN 冲突

即使扩展已加载，若系统默认路由被其他 VPN 反复改写，也可能表现为「TUN 开了但部分应用仍直连」。此时应在退出其他网络扩展后再观察路由表变化，并结合规则中的绕过局域网与 DNS 设置逐项验证。

先降级为系统代理路径

在扩展问题一时无法解决的环境下，可临时退回系统代理 + Rule，保证基本可用，再择机处理扩展权限。这不是最佳体验，但比在全机路由异常时强行调试更安全。

小结

系统扩展被阻止是 macOS 在 Clash Verge 尝试注册 TUN／网络扩展时的常见门禁，核心动作几乎总是：在隐私与安全性里允许对应开发者组件，并在需要时重启，再回到客户端启用 TUN 模式。把这一关迈过去之后，才值得深入讨论规则、DNS 与虚拟网卡参数调优。

若你希望从下载安装到订阅导入、再到代理模式与 TUN 组合一次性理顺，可以优先通过本站提供的当前平台安装包入口获取客户端，减少来源不明构建带来的额外签名与公证问题。→ 立即免费下载 Clash，开启流畅上网新体验