如果你的爬虫在 2026 年莫名其妙开始被屏蔽,看看你的 TLS 握手。浏览器悄然启用了后量子密钥交换——未跟进的工具在第一个数据包就露馅。
现代 Chrome 与 Firefox 现在默认提供后量子密钥交换(混合 X25519MLKEM768 组),主流 CDN 也协商它。 于是真实浏览器的 TLS Client Hello 会通告特定 PQ 密钥共享。基于较旧 TLS 库的爬虫栈不会——所以声称是 Chrome 却缺失 PQ 密钥共享的请求自相矛盾,被反爬标记。 修复办法:用 TLS 真正匹配当前浏览器的客户端,跑在真实 移动 IP 上。
抗量子密码不再停留在理论。为防御「先收割、后解密」攻击,浏览器开始在 TLS 1.3 中加入混合后量子密钥交换——将经典 X25519 与 ML-KEM(Kyber)格密码方案配对。2025 年它在标志位后逐步推出;到 2026 年已在当前 Chrome 与 Firefox 默认开启,CDN 广泛协商。
安全收益是真实的。对爬虫而言关键的副作用是:TLS Client Hello 的形态变了。真实浏览器发送的支持组与密钥共享列表现在包含一个后量子条目。该条目又大又特定,会出现在 JA4 等指纹里。任何仍以旧方式协商 TLS 的东西,按定义就不是当前浏览器。
你的 User-Agent 说「Chrome 13x」,但握手省略了每个真实 Chrome 13x 都会发的后量子密钥共享。声称与证据不符。
它深植于 TLS 库,难以逐项伪造,真实用户几乎不会「弄错」。这意味着高置信、极少误报——对屏蔽方堪称理想。
这正是我们支柱长文2026 指纹识别栈所述的跨层矛盾:IP 可以完美,但传输层若出卖你,就完了。它还直接叠加在 JA4 指纹之上。
后量子 TLS 在 TLS 1.3 握手中加入抗量子密钥交换(常见为混合 X25519MLKEM768 组)。现代 Chrome 与 Firefox 默认提供,主流 CDN 也协商它。这意味着真实浏览器的 Client Hello 现在会通告特定的后量子密钥共享组。基于较旧 TLS 库的爬虫栈不会——于是其握手不再像它声称的浏览器,反爬系统便标记这一不符。
它们将你 Client Hello 中的密钥共享与支持组列表,与你所声称浏览器版本的预期画像比对。一个 User-Agent 说「Chrome 13x」却省略真实 Chrome 13x 会发送的后量子密钥共享的请求,是自相矛盾的。结合 JA4,这是高置信、低误报的信号——这也是基于它的分类器报告极高准确率的原因。
使用 TLS 栈真正匹配当前浏览器的客户端——最好驱动真实、最新的浏览器引擎而非原始 HTTP 客户端,或使用提供当前后量子密钥共享的 TLS 模拟库。然后通过真实移动 IP 路由,让网络层也一致。匹配一层却破坏另一层,只是把破绽换了个位置。