最近因为 AI 封号潮，很多佬友不敢用来路不明的节点，甚至想开全局代理保平安。 
但是开全局又会导致访问国内网站变慢、有的国内网站访问不了，最要命的是进不去公司内网。 
折腾了一圈，发现最稳的方案还是 Clash 负责无脑全局（防泄露），SwitchyOmega 负责白名单直连（保体验）。 
分享一下我的配置作业，主打一个零信任，希望能帮到有同样需求的佬友。
核心逻辑
采用 “零信任 / 白名单模式” 。默认假设所有流量都需要走代理（以保护 AI 账号安全），只有明确被信任的国内域名和内网 IP 才允许直连。 
1. Clash 端设置（地基）

运行模式：Global（全局模式）。确保由 Clash 接管一切，不留死角。
系统代理：启动。
TUN 模式：关闭。
节点选择：选择一个稳定的美国节点。

2. SwitchyOmega 插件设置（核心）

情景模式：选择 auto switch（...