为什么需要单独一篇「安装与首启」
Clash Verge Rev 是 macOS 上较受欢迎的 Clash 图形客户端之一,底层通常使用 mihomo(Clash Meta)内核。选型阶段可以参考本站 《Clash Verge Rev 与 ClashX Meta 深度对比》;一旦决定用 Verge,接下来要面对的多半不是「选谁」,而是怎么在 Mac 上第一次把应用打开、把订阅灌进去、让内核跑起来。与 Android 上的 FlClash、或 iOS 上的 Stash 相比,macOS 桌面端还会多一层 Apple 的公证(Notarization)与代码签名门禁,以及「系统代理 / 网络扩展(TUN)」相关权限,因此值得单独成文。
下文默认你持有合法合规的订阅来源;关于订阅格式、自动更新频率与安全习惯,可同步阅读 《Clash 订阅管理实践》。安装包获取请优先通过本站 下载页 进入对应指引,避免从不明网盘安装被篡改的包;若需查阅上游开源仓库或 Release 记录,可在了解风险的前提下单独打开项目页,与「日常安装入口」区分开。
下载、架构与拖到「应用程序」
在 Apple Silicon(M 系列)与 Intel Mac 上,请选择与你芯片架构一致的安装包,混装常见表现是闪退或内核二进制无法执行。下载得到的一般为 .dmg 磁盘映像:双击挂载后,把 Clash Verge(或显示名称相近的应用)拖入「应用程序」文件夹,再从启动台或 Finder 打开。若你习惯从「下载」文件夹直接运行未拷贝的版本,部分权限与自动更新路径可能表现异常,建议仍按标准方式安装到「应用程序」。
首次复制完成后,可先不要急着点 Dock 里的图标:若系统尚未建立对该开发者的信任,直接双击往往会先遇到下一节的门禁提示,这是正常现象,并不等于「安装坏了」。
「无法打开」、未识别开发者、公证提示怎么办
macOS 的 Gatekeeper 会校验应用是否来自已识别开发者、以及是否通过 Apple 的公证流程。你看到「无法打开,因为无法验证开发者」「Apple 无法验证其是否包含恶意软件」等文案时,通常属于门禁拦截,可按下面顺序处理,而不要轻易去全局关闭 Gatekeeper(安全风险高且一般不必)。
方法一:右键打开。在 Finder 中选中应用,使用右键(或 Control+单击)→ 打开,在弹出对话框中再次确认「打开」。系统会把该应用记入例外,后续双击即可。若菜单里没有「打开」项,可先打开「系统设置 → 隐私与安全性」,在页面下方寻找被阻止的应用条目,点击仍要打开。
方法二:系统设置里放行。从 macOS Ventura 起,路径多为「系统设置 → 隐私与安全性」,滚动到「安全性」区域,查看是否有「已阻止使用『某某』」之类说明,按提示允许。不同系统版本文案略有差异,但思路一致:让系统记录你明确同意运行该二进制。
首次启动:辅助功能、本地网络与登录项
第一次启动 Clash Verge Rev 时,系统可能弹出多项权限请求,例如辅助功能(Accessibility)、本地网络(Local Network)、或允许在登录时启动等。是否逐项出现取决于系统版本与客户端实现,但原则是:与「代理核心、托盘菜单、快捷键或自动化」相关的权限若被拒绝,可能导致无法切换系统代理、无法显示菜单栏图标或脚本控制失败。建议在系统设置的「隐私与安全性」中核对 Verge 相关开关处于允许状态;若曾误点拒绝,可到对应子页重新打开。
部分企业环境或 MDM 会限制用户自行授权网络扩展或代理修改,若你始终无法开启系统代理且非个人电脑,需要与设备管理员确认策略。
导入 Clash 订阅与更新
打开 Verge 后,找到与「配置、订阅、Profiles」类似的入口,新建订阅并粘贴服务商提供的 HTTPS 订阅链接。保存后执行一次手动更新,确认节点列表已拉取:若此处失败,优先检查订阅是否过期、链接是否含鉴权参数、本机在拉取阶段是否被公司网络或 DNS 拦截,以及系统时间是否准确(时间漂移会导致 TLS 握手异常)。
更新成功后,在界面中选择该配置为当前使用的档案,并在策略组界面确认各组下已有可选节点,至少为默认代理组选定一个可用节点。若订阅侧启用了自动测速或自动选择,请确认测速 URL 在你当前网络下可访问,否则可能出现「有延迟数字却无法访问网站」的错觉。
mihomo 内核:下载、放置与「内核未加载」
Clash Verge Rev 依赖内置或外置的 mihomo 内核可执行文件。首次使用或升级大版本后,客户端常会自动下载内核;若网络对 GitHub / Release CDN 不稳定,可能出现内核下载失败、版本为空、或日志里提示无法启动内核。此时可尝试:切换更稳定的网络后再试;在客户端设置中查看是否允许自定义内核路径或手动选择已下载的内核;并确认磁盘未满、应用对应用支持目录有写入权限。
「内核未加载」类提示,除了下载失败,也可能是二进制未通过隔离属性、或被安全软件拦截。可对照客户端日志中的具体英文报错:若涉及 permission denied、bad CPU type,多半分别指向权限与架构不匹配。确保使用与 Mac 架构一致的构建,并避免在只读卷或网络盘上运行应用数据目录。
系统代理与 TUN:先能上网,再谈透明
在 macOS 上,Verge 通常提供系统代理(System Proxy)与TUN / 虚拟网卡(视版本与权限而定)两类接管方式。新手建议先开启系统代理,确认浏览器能走节点;再按需阅读 《Clash TUN 模式完全指南》,理解 TUN 与 DNS、透明接管的关系。若一上手就同时开 TUN 与系统代理且规则复杂,容易把问题归因错;首启阶段更稳妥的做法是逐项加复杂度。
开启 TUN 往往需要网络扩展或系统扩展授权,首次会在「系统设置」里出现批准步骤;若未批准,界面可能显示已开 TUN 但实际未接管流量。若你使用 Little Snitch、LuLu 等防火墙,也需为 Verge 及其 helper 放行,否则会出现「内核已启动但无流量」的假阳性。
首次启动失败:建议按此顺序自查
当「应用能打开、订阅也更新成功,却仍无法访问外网」时,建议按下表顺序排查,比随机重装更有效。
第一步:确认当前配置与节点。是否选中了正确的订阅档案?默认策略组是否指向可用节点?可先在客户端内对节点做延迟测试,排除节点本身失效。
第二步:确认系统代理是否生效。在「系统设置 → 网络 → 高级 → 代理」或对应菜单中,查看 HTTP/HTTPS/SOCKS 是否被写入与 Verge 显示端口一致;若你只用 TUN,则核对 TUN 接口是否已建立(部分版本在日志或状态栏有明确提示)。
第三步:看日志而非猜。打开 Verge 提供的日志或内核输出,搜索 error、failed、listen 等关键词;端口占用、DNS 解析失败、规则语法问题往往会在首行附近给出线索。若曾编辑过本地 YAML,也可对照 《YAML 解析错与重复键修复》 排除缩进与重复键。
第四步:DNS 与时间。系统时间错误会导致证书与订阅拉取双失败;DNS 若始终走国内直连而规则期望走代理,也可能表现为部分站点间歇性打不开。可先保证时间同步,再在规则与 DNS 模式上做一次最小化验证(例如短暂切到全局模式对比,仅用于定位,再切回规则)。
第五步:冲突软件与其它代理。关闭其它 VPN、抓包工具、公司全局代理客户端,再仅保留 Verge 重试,避免多栈争抢路由表或虚拟网卡。
小结
把 Clash Verge Rev 在 macOS 上从零跑到可用,关键路径可以概括为五件事:可信安装包与正确架构、通过 Gatekeeper 与公证相关提示、订阅成功更新并选中节点、mihomo 内核就绪、以及系统代理或 TUN 权限真正生效。与手机端教程不同,桌面端多出来的环节主要集中在签名公证与多客户端冲突,按顺序自检通常能快速定位。
相比在多个零散工具之间切换,使用维护活跃、内核跟进及时的 Clash 生态客户端,能明显减少「配置对了却上不了网」的隐性成本;若你希望固定从官方分发页获取版本并保持与教程一致的体验,可以直接从本站入口获取适合各平台的客户端说明。