Apple Silicon Mac 安装 Clash Verge Rev：系统代理与 TUN 首次配置分步教程

1. 为什么要单独讲 Apple Silicon：检索词、安装包与权限链路

你在搜索引擎里输入M1 Clash Verge Rev 安装、M2 Mac 代理 TUN或Apple Silicon 网络扩展 不允许时，意图往往已经不是「知不知道有个图形客户端」，而是这套机型专属的下载文件名、架构后缀与权限文案是否和你的截图一致。泛化的「macOS 安装教程」若不分 Intel 与 ARM，很容易让你在第三步就开始错位：例如照着截图去找一个不存在的菜单路径，或下了x86_64包再用 Rosetta 运行——能用，但一旦涉及内核扩展、Helper 与电量敏感的后台任务，杂音会变多。

Apple Silicon 机型（涵盖 M1、M2、M3、M4 及后续同架构芯片）在 macOS 上的系统代理写入机制与 Intel Mac 并无本质不同：仍然是把 HTTP/HTTPS/SOCKS 指到本机环回地址与 Clash 暴露的混合端口。差别主要体现在两件事：其一，你应尽量使用原生 ARM64构建的 Clash Verge Rev，减少转译层干扰；其二，第一次启用 TUN 模式时，Apple 对Network Extension框架与 VPN 配置档案的提示在 Sonoma、Sequoia 等大版本之间措辞会变，你需要按当前系统设置里的实际条目操作，而不是死记一张旧图。

Clash Verge Rev 基于 Tauri，内核侧常见为 mihomo（Clash Meta）。这意味着你在 YAML、策略组与规则上的思考和 Linux、Windows 同源；Apple Silicon 篇真正要多写的，是macOS 外壳如何把权限攒齐，以及哪些现象其实是「应用不读系统代理」而不是「你买错了 Mac」。

2. 安装：ARM64 包、隔离属性、公证与首次打开

请优先从本站 下载页获取Apple Silicon / aarch64 / ARM64标注的安装包。文件名或在发行说明里若只写「macOS」但仍提供多架构分流，务必点开详情核对：你的 Mac 在关于本机里显示「芯片」为 Apple M 系列时，应选择 ARM 一侧。把应用拖入应用程序文件夹后，若 Gatekeeper 提示「无法验证开发者」，在访达中对图标右键 → 打开一次即可建立例外；这是 macOS 常规流程，与代理配置是否正确无关。

若你从浏览器下载后被标记了隔离属性，偶尔会遇到「能打开界面却无法装载内核组件」的边角情况。此时可在理解风险的前提下，对挂载镜像或应用包执行解除隔离（终端中使用 xattr 清除隔离标记），再重启应用触发完整装载流程。企业设备若开启 MDM 限制未知来源应用，上述步骤可能被策略盖住，需要改用合规分发渠道。

不要在刚装好就立刻同时试验系统代理、TUN、DNS 覆写与手写路由——先把客户端能稳定启动、托盘或菜单栏常驻正常当作地基。若你连应用本体都无法可靠启动，后面任何「模式不灵」的判断都没有统计意义。

3. 订阅导入与内核就绪：先别碰模式开关

打开 Clash Verge Rev 后，第一件事应是导入订阅或远程配置。若你对订阅链接格式不熟，请先阅读站内 订阅导入教程，避免在「根本没有可用节点」的前提下反复 toggling TUN。导入成功后等待自动更新完成，在界面里选一个已知可用的策略组或节点，观察内核日志是否仍有持续性 TLS 失败、证书错误或 DNS 超时。

只有当订阅层面的出站链路已经验证大体正常，才有理由讨论系统代理与 TUN。顺序错了的典型后果是：用户误以为「TUN 坏了」，实际上只是订阅过期、系统时间漂移导致握手失败，或提供商域名在你当前网络被劫持——这些都与虚拟网卡无关。

部分发行版在首次启用增强能力时会提示安装 Helper（特权辅助组件）并要求输入管理员密码，用于向系统注册后台服务或写入网络配置表。若你习惯性点了「以后再说」，可能出现界面开关亮起但实际未写入系统代理或TUN 设备未创建的半失败状态。建议在看清签名与路径描述后一次性完成授权，再回到下文第四节、第五节分别验证。

4. 系统代理：写入 macOS 设置与浏览器自检

在 Clash Verge Rev 中启用系统代理后，请打开系统设置 → 网络，选中当前活跃的 Wi‑Fi 或以太网服务，进入详细信息 → 代理（不同 macOS 版本文案可能是「代理」或同级标签），核对 HTTP、HTTPS 以及 SOCKS（若客户端写入）是否指向127.0.0.1与混合端口。混合端口数值以你在应用中看到的 mixed-port 或界面提示为准，请不要照搬社交平台上过期的截图。

验证建议分两步：其一，用 Safari 或 Chrome 打开任意 IP／地理位置检测网站，看出口 IP 是否与所选节点一致；其二，记住终端默认不会自动继承 macOS 系统代理——在终端里直接 curl 某个 HTTPS 地址若仍像直连，这是预期行为，除非你显式传入 -x http://127.0.0.1:端口或在 shell 配置里导出 HTTPS_PROXY。把这一点写进脑子，能立刻消灭一半「Mac 代理是假的」的误判。

系统代理的优点是对系统侵入性较低，与许多只做浏览器跨境的场景足够匹配；缺点是不读取系统代理的应用仍然直连——这在游戏启动器、某些 IDE 内置下载器、以及硬编码 DNS 的工具里非常常见。此时不要急着骂机器，第五节才是对症下药的位置。

5. TUN 模式：网络扩展、utun 与「透明代理」心智模型

打开 TUN 模式后，macOS 会在内核侧挂接虚拟接口（常见名称包含 utun），由路由策略把符合条件的 IP 包送进 Clash，再由 mihomo 决定走出站还是直连。用户感知上接近透明代理：不少不尊重系统代理设置的程序也会被迫把流量交给内核栈处理。代价是你必须在图形界面之外多跨一层网络扩展 / VPN 授权，并且更容易与其它全局 VPN 客户端争抢默认路由。

第一次启用时，系统往往会弹出「是否允许添加 VPN 配置」或「是否允许网络扩展」一类对话框；随后你可能还需要在隐私与安全性或登录项与扩展相关面板里启用对应条目。若点了「不允许」，表现为开关 UI 亮着但内核侧没有任何连接——请在设置里撤回拒绝决定或重装触发流程，而不是无限重启路由器。

可用终端运行 ifconfig 观察是否出现新的 utun 接口，并结合 Clash 日志确认流量是否进入 tun 栈。务必牢记：TUN 只回答「包有没有进来」，不回答「一定从你想要的节点出去」。若规则早早把目标域名送去 DIRECT，或 DNS 解析走了意外路径，你会看到「开了 TUN 也像没开」。关于 fake-ip、DNS 劫持与栈优先级，可交叉阅读站内 TUN 模式说明。

6. 权限深描：Helper、辅助功能、本地网络

Helper通常出现在需要提升权限写入系统网络状态或注册后台守护进程的场景。拒绝安装并不意味着你「更安全」，往往只是让自动化能力残缺；如果你确认发行来源可信，应在看清路径描述后完成安装。

辅助功能（Accessibility）权限有时会被用于快捷键切换系统代理、全局菜单集成或其它自动化特性。若你没有启用相关功能，可以在系统设置 → 隐私与安全性 → 辅助功能里保持关闭，直到客户端明确提示某开关依赖此项。不要盲目授予全部权限以「图个省心」，但也无需把合理的系统集成等同于恶意软件——关键是理解每一项权限对应的具体功能。

本地网络权限在较新的 macOS 上可能影响局域网发现或与内网设备的交互；若你的规则包含 RFC1918 地址段、或你用局域网共享／打印机穿透测试，遇到弹窗时可以放行。与「文件与文件夹」相关的权限多半出现在导出日志、备份配置时，与能否连通外网无直接关系。

升级 macOS 大版本后若突然出现「昨天还行今天全挂」，优先检查登录项与扩展里是否有被系统静默禁用的网络扩展条目，必要时重置网络权限后再启动 Clash Verge Rev 触发重新授权。Apple Silicon 机型并不会免疫这类策略收紧，只是原生应用的 CPU 占用通常更低，让你更少误以为是「机器性能不够」。

7. 与 Intel Mac、Rosetta 的对照：什么时候该换教程

若「关于本机」显示处理器为 Intel，请改用针对 Intel 架构的安装包说明，并阅读不分机型强调的通用 macOS 流程——本站 macOS 安装 Clash Verge Rev：系统代理与 TUN 首次配置仍以权限与模式取舍为主线，可与本篇并行收藏。

Apple Silicon 上误装 Intel 包时，macOS 往往能用 Rosetta 2 转译启动，这对「偶尔点开看看」可行，但对常驻代理客户端而言，你会付出更高的能耗与更多「为何内核组件加载顺序怪异」的问号。理想状态始终是：ARM Mac ↔ ARM 构建，把变数留在规则与节点质量上，而不是留在指令集翻译层。

也不要把「Apple Silicon」误解成「会自动让所有 CLI 走代理」。无论你用哪一代 M 芯片，终端工具链行为一致：环境变量与工具自有代理开关仍是正道；Git、npm、pip、Docker Desktop 与虚拟机的组合则是另一个栏目体量的话题。

8. 常见故障：连不上、只有 Safari／Chrome 通、终端永远直连

「开关开了但整机上不了网」：先在客户端关闭 TUN，仅保留系统代理或暂时全部关闭，确认能否恢复；若恢复，说明冲突集中在虚拟网卡或路由覆盖，检查是否与其它 VPN 同时全量接管、网络扩展是否被拒、默认网关是否被改写。随后再核对订阅是否过期、系统时间是否误差过大。

「只有浏览器看起来正常」：高概率是应用不读系统代理。尝试开启 TUN，并在连接日志中观察相关进程的域名是否进入 mihomo；若进了 tun 仍异常，再排查 QUIC/HTTP3、硬编码 DNS、或规则命中是否为直连。

「终端里的 git、npm、curl 永远像没代理」：配置 HTTPS_PROXY／HTTP_PROXY，或使用工具链自带的 proxy 字段；这与 Apple Silicon 无关，属于 Unix 工具链几十年来的默认行为。

「弹出网络扩展但我点了不允许」：回到系统设置的相关列表撤销拒绝或重置权限后重来；MDM 管控机器若无权放行网络扩展，只能退回纯系统代理方案。

9. 模式没错却仍异常：规则与 DNS 的第二战场

当你确认系统代理写入无误或 TUN 设备已在线，但仍然访问特定站点怪异时，请把注意力移到规则顺序、GeoIP 数据新旧与DNS 模式：Fake-IP 与直连域名碰撞、Sniffer 与证书透明度策略、策略组默认落在错误分组，都会产生「模式没问题但体验像翻车」的错觉。

首次配置阶段每次只改一个变量：不要同时更换节点、改写 DNS、打开 TUN、手工合并多份覆写。建议对照 高级规则分流指南，用日志里的域名命中记录驱动修改，而不是凭感觉复制粘贴大段 YAML。

10. Apple Silicon 常见问题（简答）

下面是正文速查；结构化问答已写入页面 JSON-LD，便于检索结果展示。

11. 首次配置排查清单