SimpleX Chat:一个连”你是谁”都不知道的聊天软件

任何通讯软件都得有个标识符,对吧?微信用手机号,Telegram 用手机号,Signal 也用手机号。Session 已经算激进了,去掉了手机号,改用随机生成的 Session ID。但这些标识符哪怕不关联真实身份,也会留下痕迹。用同一个账号和两个人聊天,这两个人理论上可以确认他们在和同一个人通讯。

SimpleX 的做法是把标识符这个概念本身干掉。每次你和新联系人建立连接,系统生成一对一次性的消息队列地址。你和 A 聊天用的队列,与你和 B 用的队列,在服务器端没有任何共同的元数据。即使有人同时监控你所有网络流量,也无法证明这些对话来自同一个人。

这个设计的代价不小。没有统一 ID 意味着没有”登录账号恢复聊天记录”这种事。换了设备?重新和每个人建立连接。丢了本地数据?全没了。但反过来,这种极端隐私带来的体验也完全不同。打开应用,输入一个显示名称就行。不需要手机号,不需要邮箱,不需要密码。你的档案全在本地,服务器上什么都没有。

说白了这篇文章想讲清楚一件事:这种”让服务器什么都不知道”的设计,到底是隐私通讯的未来,还是一个过于激进的技术炫技?

为什么值得关注

SimpleX 的核心协议叫 SMP(SimpleX Messaging Protocol),Haskell 写的。整个架构只有三层:客户端、代理(Agent)、消息中继服务器(SMP Relay)。最反直觉的设计是消息传递方式。不是从 A 直接到 B,而是通过一堆单向消息队列异步传递。你发的消息进 A 的发送队列,对方从自己的接收队列取走。两个队列之间,在服务器端没有任何可关联的标识符。

SimpleX Chat:一个连"你是谁"都不知道的聊天软件

上图展示了 SMP 协议的核心消息流向。发送者先将消息投递到自己选的中继服务器,经第二跳转发到接收者的服务器。每一跳只知道来源或目的地其中之一,无法同时掌握两端。队列本身没有全局 ID,同一用户的不同联系人之间彻底隔离。

加密层面也做了不少事。端到端加密用的双棘轮算法(Double Ratchet),提供前向安全性。v5.4 版本开始在每个棘轮步骤里集成了后量子密钥交换,这是 Signal 目前还没默认开启的东西。另外还有一层额外的端到端加密用于双跳路由,即使 TLS 被破解,消息内容依然受保护。

从 v6.0 开始,私有消息路由成了默认配置。发送者的消息先到自己选的中继服务器,再转发到接收者选的服务器。跳两次。第一跳的服务器知道发送者的 IP 但不知道最终目的地,第二跳的服务器知道目的地但不知道来源。这种双跳洋葱路由大幅提升了发送者匿名性,代价是增加了约 200ms 的延迟。

文件传输方面,他们另起了一个 XFTP 协议。不走 SMP 消息通道,而是独立的数据包通道,每个数据包有自己的寻址。逻辑很清晰:短消息走低延迟的 SMP,大文件走高吞吐的 XFTP,两套系统互不污染。

多平台支持覆盖得比较完整。iOS、Android、Desktop(Linux/Mac/Windows)都在 App Store 或官网直接下载,还有一个命令行客户端。代码库 249 个贡献者,日活不低。2022 年和 2024 年分别通过了 Trail of Bits 的安全审计,审计范围从协议设计到加密实现。

你可能会问:这么多技术投入,实际体验怎么样?

跑起来看看

SimpleX 的安装路径很直接。桌面端去 simplex.chat 下载对应系统的安装包,手机端在 App Store 或 Google Play 搜”SimpleX Chat”。装完打开,不需要注册,输入一个本地显示名称就能用。没有账号创建流程,没有验证码,没有密码。你的数据存在本地 SQLite 数据库里。

命令行用户可以用终端客户端:

# macOS / Linux 通过 Homebrew
brew install simplex-chat

# 或从 GitHub Releases 下载预编译二进制
# https://github.com/simplex-chat/simplex-chat/releases

启动终端客户端后,最基础的操作是这样:

# 启动聊天客户端
simplex-chat

# 在交互界面中创建联系人地址并分享给对方
/connect

# 接受对方的连接邀请
/connect <邀请链接>

加好友的体验跟其他软件完全不同。你点”添加联系人”,生成一个一次性邀请链接或二维码。把这个发给对方,对方点击后双向连接建立。没有”搜索用户名”这个功能,因为根本没有用户名可搜。连接建立的过程本质上是双方通过带外渠道交换各自的队列地址和公钥。

换设备是个需要严肃对待的问题。因为没有任何云账号体系,你需要通过”数据库迁移”功能来转移本地数据。桌面端和手机端可以通过二维码扫描配对,在同一网络下传输加密后的数据库。流程比登录一个账号麻烦不少,但换来的是一旦迁移完成,新设备就继承了所有队列和密钥。

有几个坑提前说清楚。视频通话的稳定性还不理想,尤其在跨平台时掉线率偏高。大型群聊因为没有中心化成员列表管理,体验比传统应用粗糙很多。另外通知推送在 iOS 上依赖 Apple Push Notification Service,这意味着苹果理论上可以知道你在用 SimpleX,虽然不知道在跟谁聊。Android 端有自己的推送通道,不需要 Google Play Services。

体验上的坑说清楚了,不过更关键的问题还没聊:哪些人该用,哪些人不该用?

什么时候用,什么时候别用

适用场景用表格更直观:

场景 典型用户 优势 局限
高敏感通讯 记者、律师、活动人士 零元数据泄露,服务器无用户记录 联系人管理笨重
隐私优先日常 不想被追踪的普通用户 无手机号注册,端到端加密默认开启 换设备迁移麻烦
开发者自部署 有运维能力的团队 可自建中继服务器,完全掌控消息路由 需要 Haskell 运维能力
加密文件传输 需要安全发送大文件的用户 XFTP 协议独立加密通道 双方需同时在线或配置中继

不适用的情况也很明确:

  • 你需要快速加大量好友。SimpleX 没有搜索发现机制,只能通过邀请链接一对一添加。想在 500 人的社区里用,加人这一步就会让你崩溃。
  • 你经常换设备或同时用多台设备。没有云同步意味着每台设备的数据互不相通,迁移流程虽然有但并不丝滑。
  • 你需要稳定的大型群组体验。目前的群聊设计适合 20 人以内的小组,超过这个规模体验明显下降。
  • 你的通讯对象对技术毫无耐心。”扫这个码,然后点这个链接,然后我们才能开始聊天”这套流程对非技术用户劝退力很强。如果你要跟家里人用,Signal 更现实。

体验上的坑说清楚了,不过更关键的问题还没聊。

社区怎么样了

先看一组反映项目健康状况的关键数据:

指标 数据 说明
Stars 18.7k(截至 2026 年 7 月) 稳定增长,非爆发型
贡献者 249 人 跨平台团队,Haskell/Kotlin/Swift 栈
Open Issues 1,196 数量偏高,但多数是功能请求而非 Bug
协议 AGPL v3 对商业使用有限制,自部署不受影响
安全审计 Trail of Bits ×2 2022 年协议设计,2024 年加密实现

1,196 个 Open Issue 看起来吓人,但翻一圈会发现大头是功能请求和翻译贡献。真正的 Bug 报告占比不算离谱。维护者的响应模式是”集中批处理”而非”逐个回复”,有些 Issue 可能沉几周,然后在一次大更新中被批量关闭。这不是最理想的社区管理方式,但对于一个 Haskell 核心加多端客户端的复杂项目来说,比失控要强。

SimpleX Chat:一个连"你是谁"都不知道的聊天软件

从时间线来看,项目从 2019 年底的协议原型到 2026 年 v6.5 的全功能多端应用,推进节奏稳定。2022 年的 Trail of Bits 审计和 Jack Dorsey 的公开背书是第一个转折点,2025 年 Vitalik 的捐赠则把项目推进了更主流的隐私技术讨论中。

在 HackerNews 上关于 SimpleX 的讨论串中,最高赞评论之一是:”把隐私推向极致的代价是可用性。问题是,大多数人愿意付这个代价吗?”这个观察很准确。SimpleX 的用户群体明显分两拨:一拨是真正有高隐私需求的人,另一拨是对”最安全”有执念的技术极客。前者会持续用,后者可能在新鲜感过去后回到 Signal。

维护风险方面,Bus Factor 偏低是个隐忧。核心协议和 SMP 服务器主要由创始人 Evgeny Poberezkin 维护。如果创始人出状况,项目的技术核心部分将受到严重冲击。好消息是客户端团队的贡献者分布相对均匀,应用层不至于停摆。

社区数据摆完了,该聊点真的了。这个项目到底值不值得跟?

我的真实看法

SimpleX 不是 Signal 的替代品。至少现在不是。把它理解为一个更古老的通讯概念(点对点信使)用现代密码学重新实现的产物,更接近真相。

它最大的价值不在”比 Signal 更安全”这个维度上。Signal 的端到端加密已经足够强,对 99% 的用户来说,Signal 提供的隐私保护绰绰有余。SimpleX 真正突破的地方是元数据隐私。Signal 的服务器知道你用哪个手机号注册、什么时候上线、在跟谁通讯,虽然不知道聊了什么。SimpleX 的服务器不知道任何事。不是”知道但不说”,是”压根没有可以知道的数据结构”。

SimpleX Chat:一个连"你是谁"都不知道的聊天软件

三款软件的隐私策略差异一目了然。Signal 用手机号注册,元数据在服务器;Session 去掉了手机号但保留了 Session ID 做关联;SimpleX 连 ID 都没有,每个联系人独立队列。从元数据隐私的角度看,它们是递进关系,每一步都在消除一层可追踪的痕迹。

这个区别的核心工程意义在于:Signal 的安全模型假设服务器是可信的。如果 Signal 被法院传票或黑客攻破,元数据就可能泄露。SimpleX 的设计让这种威胁在架构层面不可能成立。即使有人拿到了所有 SMP 服务器的完整数据,也无法重建谁在和谁通讯。

但所有好东西都有代价。SimpleX 的代价是可用性。没有云同步、没有联系人发现、没有 ID 恢复,每一处都是故意为之的取舍。问题在于,这些取舍加起来,把这个产品推到了一个很窄的用户带上。不是它不够好,是它好的方向太偏了。

项目的未来取决于两件事。一是大型群组和公共频道的完成度。路线图上的”Communities”功能如果做得好,可能把 SimpleX 从”一对一私聊工具”拓展到”社群通讯平台”,这会打开用户增长的第二曲线。二是持续的资金。目前依赖捐赠(GitHub Sponsors、OpenCollective、加密货币),没有清晰的商业模式。Jack Dorsey 和 Vitalik 的支持有象征意义,但都不算机构性资金。长期来看,靠捐赠养活一个多平台聊天应用的开发团队,压力不小。

开源项目

X4G:一个 FastAPI 驱动的 VLESS 管理面板,附赠 Telegram 机器人

2026-7-18 14:29:17

行业动态

突发福利!Claude 全线账号使用量自动翻倍,这下不用抠搜算额度了

2026-3-15 13:26:52

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧