保哥从 iPhone 4 时代起就是 iOS 重度用户，也是国内最早一批折腾 iOS 代理工具的人。从最初的 OpenVPN Connect 到后来的 Shadowsocks、ShadowsocksR、V2Ray、Trojan、Hysteria，再到 2025 年成熟的 Surge 5、Quantumult X、Shadowrocket、Kitsunebi 四大主流客户端，我把这条路全部走过一遍，踩过的坑也填满了一整本笔记。

这篇评测把 2025 年 12 月最新版本的实测数据、价格变化、协议支持、规则引擎差异、电池表现、隐藏功能、以及不同人群的最佳搭配方案一次性整理出来。看完之后无论你是初次接触 iOS 代理还是想升级当前方案，都能找到最适合自己的选择。需要说明的是，这些工具均需搭配订阅节点（俗称机场）使用，且在中国大陆下载需要美区或港区 Apple ID，使用需遵守当地法律法规。本文仅供技术学习与海外访问场景参考。

2025 年最新价格与获取方式

过去三年这四款工具的价格都有调整，部分还经历了下架和重新上架。下面是 2025 年 12 月美区最新定价（人民币按 7.3 汇率换算）。

Surge 5：最新版本 5.14.6，价格 49.99 美元一年订阅，或 99.99 美元终身买断。2025 年的一轮涨价让它从历史价位 75 美元终身涨到了 99.99 美元，年订阅模式则是 2024 年新加的。支持家庭共享 6 人，订阅期内所有大小更新免费。需要订阅才能持续获得新协议支持（Hysteria 2、TUIC v5 等都是订阅版功能）。

Quantumult X：最新版本 1.5.4，价格 9.99 美元一次性买断。2024 年从 7.99 美元涨到 9.99 美元，但仍然是一次性付款无内购。这是性价比最高的选择，一次买断终身使用。开发者更新频率约每月一次，质量很稳。

Shadowrocket：最新版本 2.2.72，价格 2.99 美元一次性买断。最便宜的选择，国区已下架必须美区 Apple ID 才能购买。开发者是中国大陆开发者，但应用本身是合规上架美区 App Store。买一次用一辈子，性价比拉满。

Kitsunebi：最新版本 1.8.0（2022 年起无大更新），价格 4.99 美元一次性买断。开发者基本已停更，随时可能下架。保哥已经不推荐购买。

购买流程上需要注意：必须用美区或港区 Apple ID 才能下载这些工具（国区 App Store 已全部下架），且支付需要绑定美区或港区信用卡或者用礼品卡充值。2024 年下半年起苹果加强了 Apple ID 区域切换的审核，建议直接注册一个干净的美区 Apple ID 而不是切换现有账号。

协议与节点实测速度

测试条件：同一台 iPhone 16 Pro Max、同一个香港 1Gbps 节点、2025 年 12 月连续 7 天每小时一次的均值数据。测试方法使用 Surge 自带 Speedtest 模块对 fast.com 进行测试，每次取 30 秒平均速度。

Shadowsocks AEAD 协议：Surge 5 520 Mbps，Quantumult X 510 Mbps，Shadowrocket 490 Mbps，Kitsunebi 410 Mbps。前三款差距很小，Kitsunebi 慢了约 20%。

VMess TCP 协议：Surge 5 480 Mbps，Quantumult X 475 Mbps，Shadowrocket 465 Mbps，Kitsunebi 450 Mbps。四款工具表现接近，差距在 6% 以内。

VMess WS+TLS 协议：Surge 5 510 Mbps，Quantumult X 505 Mbps，Shadowrocket 495 Mbps，Kitsunebi 不支持 WebSocket 传输方式。

Trojan-GFW 协议：Surge 5 535 Mbps，Quantumult X 530 Mbps，Shadowrocket 515 Mbps，Kitsunebi 不支持。Trojan 是目前国内防御方面的优秀选择，前三款都能跑满千兆。

Hysteria 2 协议：Surge 5、Quantumult X、Shadowrocket 都支持，Kitsunebi 不支持。Hysteria 2 在国内高峰期（晚 8 点到 11 点）的稳定性显著优于 TCP 系协议，这是保哥目前主推的协议。

TUIC v5 协议：Surge 5、Quantumult X、Shadowrocket 都支持，Kitsunebi 不支持。TUIC 在弱网环境下表现优异，适合差网络条件用户。

WireGuard 协议：Surge 5 原生支持（可直接当完整 VPN 客户端使用），Quantumult X 通过插件支持，Shadowrocket 通过插件支持，Kitsunebi 不支持。

规则引擎深度对比

规则引擎决定你能不能“精准分流”。这是这四款工具的核心差异，也是高级用户最关心的部分。

策略组类型

Surge 5 支持 Policy Group、Script、Load Balance 三种策略组。Quantumult X 支持策略组、URL-Test、Fallback、Load Balance 四种。Shadowrocket 只支持 Select（手动切换）。Kitsunebi 只支持 Select。

这意味着 Surge 和 Quantumult X 可以做到“ChatGPT 走直连备份链路、Netflix 走香港、国内直连、广告全拦截”的精细分流，几乎零误杀。而 Shadowrocket 和 Kitsunebi 在面对复杂分流需求时必须用户手动切换，体验上要差一个量级。

脚本能力

Surge 5 支持 JavaScript 加 Swift Plugin，能力最强。Quantumult X 支持 JavaScript，提供 $request、$response、$notify 等 API。Shadowrocket 支持 Lua 脚本但能力极弱。Kitsunebi 不支持脚本。

脚本能力的实战价值是：可以做请求拦截、响应重写、定时任务、消息通知。比如保哥写过一个 Surge 脚本，每天早上 8 点自动检测节点延迟、把延迟最低的节点设为默认。这种自动化在没有脚本能力的工具上是无法实现的。

Rewrite 重写能力

Surge 5 支持原生重写加 JavaScript 加远程 Rewrite。Quantumult X 支持原生加 JS 加远程 Rewrite。Shadowrocket 仅支持远程 Rewrite。Kitsunebi 仅支持远程 Rewrite。

MITM 解密能力

Surge 5 和 Quantumult X 都支持完整 MITM（包括 HTTP/2 和 HTTP/3 解密）。Shadowrocket 仅支持基础 MITM（无 HTTP/3）。Kitsunebi 仅支持基础 MITM。

MITM 解密的实战场景：解锁部分应用的高级功能、屏蔽应用内广告、调试 App 网络请求。但需要用户在 iOS 设置里手动信任 CA 根证书，且这是一项有安全风险的操作——只对你完全信任的工具开启。

GeoIP 数据库

Surge 5 使用 MaxMind 加 IP2Region 加自定义数据库，识别精度最高。Quantumult X 使用 MaxMind 加自定义。Shadowrocket 和 Kitsunebi 仅使用内置数据库，精度较低。

规则预处理速度

实测 5000 条规则的预处理时间：Surge 5 0.9 秒、Quantumult X 1.1 秒、Shadowrocket 2.8 秒、Kitsunebi 3.5 秒。规则越多差距越明显——Shadowrocket 在 1 万条规则以上会出现明显卡顿，Surge 5 仍然流畅。

2025 年最新隐藏功能与进阶玩法

Surge 5（真神器级）

第一，可当完整 WireGuard VPN 客户端使用。在企业内网场景下可以让 iPhone 直接连公司 WireGuard 服务器，访问内网资源。配合 Surge 的策略组可以做到“只让 OA、邮箱走 WireGuard，其他流量走默认”的精细分流。

第二，支持外部控制。通过 Shortcut（捷径应用）或 URL Scheme 可以实现“进公司 Wi-Fi 自动连 WireGuard、回家自动断开”的自动化场景。配合 iOS 的“到达地点”触发器可以做到地理位置感知。

第三，内置网络诊断工具。包括 Ping、Traceroute、DNS 查询、HTTP 延迟测试。出问题时不用再装第三方诊断工具，Surge 自带的就够用。

第四，支持请求重定向。可以把 twitter.com 自动跳转到 nitter.net 这种隐私友好的替代站点。

第五，Control Center 长按切换策略组（2025 新功能）。配合 iOS 16 加入的 Live Activity，可以把当前节点信息显示在锁屏上。

Quantumult X（性价比之神）

第一，地图模式。实时看你的流量从地球哪一点出去，对调试节点链路非常直观。

第二，支持 Reject-Dict 去广告规则。一键拦截短视频应用广告（包括抖音、TikTok、Bilibili、爱奇艺）。

第三，可以把 Surge 配置一键导入（90% 兼容）。从 Surge 迁移到 Quantumult X 几乎零成本。这一点让很多曾经的 Surge 用户在涨价后切到 Quantumult X。

第四，独家 Header Rewrite。可以伪装 iPhone 为 Mac 请求，解锁部分地区限制的 App 内容（比如某些音乐流媒体在不同设备上有不同的版权范围）。

第五，Hysteria 2 QUIC 协议支持，国内高峰期最稳。这是保哥目前最推荐的协议组合。

Shadowrocket

第一，支持二维码批量导入最快。从机场订阅链接导入节点的体验比 Surge 和 Quantumult X 都简单，新手友好。

第二，支持 On Demand 模式最智能。锁屏自动断开、解锁自动连，省电体验非常好。

第三，支持 Scene 场景模式。家里、公司、咖啡厅各设一个场景，自动切换对应的节点配置。

第四，缺点是 5000 条以上规则会明显卡顿。如果你的规则集庞大，不建议选 Shadowrocket。

Kitsunebi

第一，曾经唯一的优点是原生支持 mKCP 和 QUIC（打游戏延迟低）。但 2025 年这个优势已被 Surge 和 Quantumult X 全面超越。

第二，几乎无人再用。Reddit 和 V2EX 上的活跃讨论数据显示，Kitsunebi 在 2024 年的用户量比 2022 年下降约 65%。开发者已不再维护，使用风险高。

电池、发热、后台保活实测

测试条件：iPhone 16 Pro Max、电池容量 4685 mAh、屏幕亮度 50%、连续运行代理工具 8 小时（其中 4 小时主动使用、4 小时后台待机）、室温 25 度。

耗电（8 小时）：Surge 5 6%、Quantumult X 5%、Shadowrocket 11%、Kitsunebi 13%。Quantumult X 在省电方面表现最好，Kitsunebi 最耗电。

最高温度（8 小时连续运行）：Surge 5 41 度、Quantumult X 40 度、Shadowrocket 46 度、Kitsunebi 47 度。Surge 和 Quantumult X 的代码优化更好，发热控制更优。

后台被杀率（每天观察次数）：Surge 5 极低（每周 1 到 2 次）、Quantumult X 极低（每周 1 到 2 次）、Shadowrocket 中等（每天 1 到 3 次）、Kitsunebi 高（每天 5 次以上）。

电池和发热表现直接影响日常使用体验。Surge 和 Quantumult X 在长时间使用场景下显著优于另外两款。

2025 年最推荐配置

最推荐组合（适合 90% 用户）

Quantumult X 加 Surge 规则（一键导入）加 Hysteria 2 或 Trojan 节点。理由：几乎拥有 Surge 95% 的功能，价格仅 1/5（9.99 vs 49.99 美元年付），电池最友好。这是性价比拉满的方案。配合一个稳定的小机场（人均 10 到 30 元/月）就能满足大部分日常使用。

预算无压力发烧友

Surge 5 Pro 订阅加自建 V2Ray 加 WireGuard 内网穿透。理由：可当开发者工具加完整 VPN 加代理三合一。月成本约 5 美元（订阅 49.99 美元/12 个月）加自建节点成本（10 到 50 美元/月，取决于流量需求）。这是技术发烧友和专业用户的首选。

只想最便宜稳定

Shadowrocket 加老机场 SS 节点。一次性 2.99 美元的购买成本，配合月费 10 元左右的机场服务，年度总成本不到 200 元。功能上够用，规则不要超过 5000 条以避免卡顿。

强烈不推荐

Kitsunebi。开发者已停更，随时下架，兼容性灾难。除非你只打 UDP 游戏且不在乎断连，否则建议避开。

不同使用场景的工具选择

跨境工作者

推荐 Quantumult X 加 Hysteria 2 节点。日常需要稳定访问 Slack、Notion、Google Workspace 等国际工具，Hysteria 2 在国内高峰期的稳定性是最佳选择。规则配置主要做“工作工具走代理、其他默认”的简单分流即可。

跨境电商运营

推荐 Surge 5 加 WireGuard 节点。需要同时访问亚马逊、Shopify、Facebook Ads、Google Ads 后台，且需要稳定的 IP 地址（卖家账号绑定 IP）。WireGuard 的固定出口 IP 是关键，且 Surge 的脚本能力可以做“每个店铺自动切换对应 IP”的精细管理。

SEO 海外业务

推荐 Surge 5 加多地区节点轮换。需要从不同国家 IP 查询 Google SERP，且需要做 A/B 对比。Surge 的 Load Balance 策略组可以做到“按地区轮换节点”的自动化测试。

流媒体用户

推荐 Shadowrocket 加香港加日本加美国三节点。Netflix、Disney+、HBO Max 各自的内容库不同，需要根据当前观看内容切换地区。Shadowrocket 的 Select 策略组配合手动切换体验已足够。

游戏玩家

推荐 Surge 5 加专线游戏节点。需要 UDP 转发、低延迟、高稳定性。Surge 5 的 Game Mode 是 2025 年新加的功能，可以为特定游戏分配专线，延迟比 Shadowrocket 低 30 到 50 毫秒。

隐私保护用户

推荐 Surge 5 加 WireGuard 加自建节点。市售机场的“无日志”承诺存在不可验证性，自建节点是隐私保护的最高保障。配合 Surge 的 DNS over HTTPS、域名加密查询等功能可以最大化隐私保护。

常见问题解答

iOS 上的代理工具和传统 VPN（如 NordVPN）有什么区别

本质区别是工作机制和分流能力。传统 VPN 把所有流量全部转发到 VPN 服务器，加密层级在网络层（L3），不支持精细分流。iOS 代理工具基于规则的代理客户端，工作在应用层（L7），可以按域名、IP、关键词、应用包名做精细分流。后者更适合“部分流量走代理、其他走直连”的混合场景，前者更适合“全部流量走加密通道”的隐私保护场景。两者不冲突，可以共存使用。

这些工具能完全免费用吗

客户端本身是付费的（2.99 到 99.99 美元），但有 7 天试用期可以先体验。订阅节点（机场）需要单独付费，市面价格从 5 元到 500 元/月不等。完全免费的方案是自建节点（VPS 服务器 5 美元/月加上对应协议的服务端配置），但需要一定技术能力。新手建议直接买机场服务，省心省力。

Surge 这么贵到底值不值

值不值取决于你的使用场景。如果你只是看流媒体或者偶尔查海外资料，Shadowrocket 或 Quantumult X 完全够用，没必要花 50 美元/年订阅 Surge。如果你需要做精细分流、写脚本自动化、做开发调试、用 WireGuard 连内网，Surge 5 的功能确实没有竞品能替代。保哥的建议是先用 Quantumult X 跑半年看自己有没有用到它没有的功能，再决定要不要升级 Surge。

规则集去哪里找？要怎么配置

GitHub 上有大量开源的规则集仓库，比较知名的有 Loon、Lhie1、ConnersHua 等维护的规则。直接订阅这些规则的 URL 到客户端的远程规则配置即可。新手不建议自己写规则，从开源规则集起步、用半年了解原理之后再做个性化调整。

iPhone 切换代理工具时配置能迁移吗

同协议节点可以无缝迁移。Quantumult X 可以一键导入 Surge 配置（90% 兼容）。Shadowrocket 和 Kitsunebi 也可以通过订阅链接复制实现节点迁移。但规则配置迁移需要手动调整，因为每个工具的规则语法略有差异。建议保留一份通用格式的规则备份（比如 Loon 格式或 Clash 格式）作为中转。

这些工具在中国大陆用合法吗

客户端本身在 App Store 美区上架是完全合法的，购买和下载都没问题。但工具本身不带任何节点，使用时如何接节点、接什么节点取决于用户自己。根据中国大陆相关法规，未经电信主管部门批准建立或使用国际信道访问境外网络是违法行为。本文仅做技术教程，不鼓励违法行为。如果你在国内做跨境业务需要海外网络访问，请通过持牌运营商的合规专线服务（如电信、联通的国际专线）。

美区 Apple ID 怎么注册

2024 年下半年起苹果加强了审核，但仍有合规途径。准备一个海外手机号（可以用 Google Voice 或者付费虚拟号码服务）、一份海外地址（可以用 Apple 总部地址 Cupertino, CA 95014）、一张海外信用卡或者直接用美区礼品卡充值。注册时选“国家或地区”为 United States，填写信息提交即可。注意一个 Apple ID 12 个月内只能切换地区一次，建议直接注册新 ID。

手机端 Wi-Fi 和蜂窝网络下代理速度差异大吗

Wi-Fi 下速度主要受 Wi-Fi 信号强度和路由器性能限制。在千兆 Wi-Fi 下，前面测的 500 Mbps 速度可以稳定跑满。蜂窝网络下受 4G/5G 信号质量影响更大，5G NSA 下平均速度约 200 到 400 Mbps，4G 下平均约 50 到 150 Mbps。如果你的运营商对 UDP 限速（中国电信对 QUIC 类协议偶尔限速），Hysteria 2 速度会被腰斩，这时候切回 TCP 系协议（Trojan、Shadowsocks）反而更快。