macOS Sequoia 网络变更：最新指南

macOS Sequoia 自带的网络栈表面上看跟 Sonoma 一样，但底下有一些有意义的改动——一部分有文档记载、一部分是从第三方开发者反馈的"什么坏了"推断出来、还有一部分随着小版本逐步发布仍在沉淀。如果你管理 Mac、做网络相关的应用、或者只是想知道为什么你的 VPN 突然要重新授权，macOS Sequoia 的网络变化值得详细搞清楚。

我会诚实地分清什么是有据可查、什么还在变。Apple 关于网络框架的发布说明跟 Swift 编译器的发布说明比起来稀疏得多，所以"变了什么"里有相当一部分来自开发者经验的反馈。

NEHelper 与 macOS Sequoia 的网络扩展故事

NEHelper 是长期负责 NetworkExtension 框架活动的守护进程——VPN、内容过滤器、数据包隧道。Sequoia 在这里调整了几处。

授权和状态

• 升级后重新授权。 升级到 Sequoia 之后，相比之前更多用户必须走一遍系统设置 → 通用 → 登录项与扩展，重新启用他们的 VPN 或过滤器。
• 更清晰的状态可见性。 登录项与扩展的界面把网络过滤器授权整合得更清楚了。
• 按进程归因。 当内容过滤器阻断一个连接时，源应用归因比早期版本更可靠。

这对用户意味着什么

如果你升级后 VPN"不工作了"，几乎肯定不是真的不工作了——只是扩展需要重新授权。走到系统设置 → 通用 → 登录项与扩展 → 网络扩展，找到你 VPN 提供商的条目，开启它，按提示批准，多数情况下一切都会恢复。

内容过滤 API 行为

NEFilterDataProvider 和 NEFilterPacketProvider 这两个 API 是 Little Snitch、LuLu、企业终端安全代理这类应用使用的。Sequoia 在几处收紧了。

实际有什么变化

• 过滤器现在看到的系统发起流量构成跟 Sonoma 上略有不同
• 过滤器作者之前依赖的一部分私有 API 表面进一步受限
• 在重负载流量下，几个常见过滤器提供方的性能特征改善了

什么坏过、又被修了

在 Sequoia 早期版本里，几个内容过滤器经历了误报或短暂连接问题。多数主要厂商在几周内发出了更新。如果你跑的过滤器比这老，先升级再断定问题在 Sequoia 自身。

iPhone 镜像与网络限制

Sequoia 一项真正新的功能：iPhone 镜像，让你从 Mac 控制 iPhone。它有网络层面的影响。

它做什么

• 把 iPhone 的显示流到 Mac 上并接受 Mac 的输入
• 把手机的通知代理到 Mac
• 在 Wi-Fi 或有线共享网络上使用类似连续互通的连接

这对带宽意味着什么

• 一个活跃的镜像会话是有意义的持续流量——更接近视频通话而非短信收发
• 镜像期间被代理的通知增加一小股稳定的后台细流
• 在计费连接上，这累加得比人们预期快

限制

• 由于监管考量，iPhone 镜像在一些欧盟地区受限
• 它要求两台设备使用同一 Apple ID 并在同一网络
• 一些 MDM 管理的 Mac 按策略禁用了它

如果你在用 iPhone 镜像并通过手机的热点共享网络给 Mac，你会陷入一个循环：Mac 流量经手机出去，包括镜像会话本身。这是一种低效的运行方式。

Apple Intelligence 与设备端 vs 服务器端

Sequoia 是 Apple Intelligence 开始分阶段落地的版本。这里的网络故事是混合的。

留在设备端

• 多数个人上下文功能在受支持的芯片上设备端运行
• 短文本的系统级校对与摘要通常不会往返服务器

走 Private Cloud Compute

• 较大的请求会被路由到 Apple 的 Private Cloud Compute 基础设施
• 连接是加密的，Apple 对其隐私属性有详细声明
• 从带宽角度看，这些请求是真实的网络流量

这对监控为什么重要

如果你启用 Apple Intelligence 功能后突然看到一些你不认识的系统进程产生网络活动，很可能是这个。这种活动是合法的，但也是真实的流量，会计入带宽预算和续航。

看到每一个跟网络通信的系统进程

ova 列出 Mac 上每个使用带宽的应用和辅助进程，约每秒刷新一次，所有数据本地保存。已签名公证，约 3 MB。

下载 macOS 版

DNS 与 HTTPS 解析

Sequoia 延续了向更私有的默认 DNS 的稳步推进。

稳定的部分

• 通过配置描述文件的系统级加密 DNS 行为跟 Sonoma 一样
• Safari 默认 HTTPS 的行为没变
• 网络层级的自定义 DNS 仍然适用于多数应用

在变化的部分

• DNS hook 周边的一些私有 API 行为变了；这影响了少数网络监控工具
• iCloud 私密代理订阅者继续走相同的双跳中继流，附带 Sequoia 特有的稳定性改善

如果你依赖自定义解析器，升级后核实它对你所有应用仍然生效。最常见的 macOS Sequoia 网络故障是 VPN 客户端打包了一个老的 DNS 垫片。

哪些说法值得保持怀疑

网上一些说得很自信、我建议谨慎对待的说法：

• "Sequoia 重写了网络栈。" 没有。改动是增量的。
• "Apple Intelligence 把一切都送到云端。" 不对；架构更细致，设备端那部分是有分量的。
• "新 API 把所有防火墙都搞坏了。" 有少数过滤器需要更新。多数没有任何持续意义上的"坏"。

Apple 关于网络框架的文档不全。除非引用了 WWDC session 或开发者面向的发布说明，对内部行为的细节性说法都按"有依据的猜测"来看。

升级后值得核实的实操项

如果你刚升到 Sequoia 或者打算升：

1. 重新授权所有网络扩展。 系统设置 → 通用 → 登录项与扩展 → 网络扩展。逐个开启，按提示批准。
2. 升级你的 VPN、防火墙和安全工具。 老版本是多数"Sequoia 把 X 搞坏了"反馈的根源。
3. 检查"本地网络"授权。 系统设置 → 隐私与安全 → 本地网络。撤销你不再积极使用的。
4. 决定要不要 Apple Intelligence。 不想要可以关着。开启则要预期到新的后台网络活动。
5. 装一个按应用的带宽监控。 ova 或同类——看看你的机器在干什么，别猜。

最后这一点在 Sequoia 上比在以前的版本更重要，仅仅因为现在合法的后台流量更多了（Apple Intelligence、iPhone 镜像同步、连续互通功能），你需要能快速分辨合法与可疑。

关于企业与受管理 Mac

如果你的 Mac 加入了 MDM，几项 Sequoia 特性可能因策略被禁用：

• Apple Intelligence（在受管理设备上目前经常被禁）
• iPhone 镜像（同样常被禁）
• 自定义 DNS（可能被锁定到组织的解析器）
• 网络扩展（可能被限制在组织批准的列表里）

不要为这些跟 IT 部门较劲。他们禁用的功能通常有原因，在受管理 Mac 上重新启用可能违反你已同意的策略。

收尾

macOS Sequoia 的网络变化是混合的——多数是看不见的改善、几个会产生真实流量的新功能，以及 NetworkExtension 框架持续收紧（这会让旧工具坏掉、奖励保持工具更新的人）。正确的姿态是：

• 睁眼升级：重新授权扩展、升级工具
• 监控你的机器实际在发什么，特别是升级后头几周你在调整功能的时候
• 对内部行为的自信声明保持怀疑；文档密度不足以支撑多数声明

理解你这台具体机器上变了什么，最有用的单一工具就是一个好的按应用的带宽视图。macOS 给你开关；监控给你事实。ova 就是为此专门做的一个选项——极简、已签名公证、运行于 macOS 14 及以上（Sonoma 和 Sequoia 都行）、磁盘约 3 MB、所有数据本地存放、无遥测。盯着你的网络一周，Sequoia 的改动会自我说明。