Tor浏览器发布新的稳定版本15.0，整合了整整一年的更新内容

Tor浏览器 15.0大版本于2025年10月28日发布，可从Tor浏览器下载页面和发行版目录获取。这是Tor浏览器基于Firefox ESR 140的首个稳定版本，它整合了上游Firefox浏览器一年来的改进。Tor团队表示，其完成了年度ESR过渡审计，审查并解决了大约200个可能会对Tor浏览器用户的隐私和安全产生负面影响的Bugzilla问题，这些问题都是Firefox浏览器升级的功能。

“暗网下/AWX”对新版本Tor浏览器进行了审视，认为该版本与Firefox浏览器最大的变化是开发人员删除了AI等许多新加入功能。

Firefox浏览器的开发商Mozilla将AI功能定位为必不可少的现代化升级，花了大量时间将AI聊天机器人集成到Firefox中，并在侧边栏添加了ChatGPT、Claude和Google Gemini的访问接口，而Tor浏览器在升级中将所有这些功能都删除了。Tor团队表示称AI功能与隐私不相容，并将其删除。根据Tor团队的表述，其删除了以下AI功能：

• 删除AI和机器学习组件
• 关闭AI聊天机器人偏好设置

理由很直接：“从安全和隐私的角度来看，机器学习系统和平台本质上是不可审计的。”没有技术方法可以验证这些系统如何处理用户的数据。由于Tor的目的是为了在国家层面的对手面前保持匿名，因此将代码发送到人工智能公司手中会破坏一切。

这使得Tor浏览器与整个浏览器行业形成了直接对立：Chrome浏览器力推谷歌的Gemini；Edge浏览器默认使用微软的Copilot；而Safari浏览器添加了Apple Intelligence。

此外，Tor团队还优化了品牌标识，之前的版本仍然保留了Firefox和Mozilla的元素，而Tor浏览器 15.0版本则完全移除了这些元素。每个Mozilla服务集成都存在潜在的数据泄露风险，Tor浏览器移除了对Firefox Sync、Mozilla账户和遥测系统的引用可以减少攻击面。

另外一个明显的变化是，Tor浏览器会在地址栏中始终显示完整的URL协议（http://或者https://），而不是像其他浏览器一样将其隐藏，查看完整的URL有助于用户验证他们是否通过安全通道连接到了目标网站。

最新更新

PC版本Tor浏览器

Tor浏览器 15.0继承了Firefox浏览器的众多实用新功能和可用性改进，这些功能和改进均已通过Tor团队的审核。

对于PC版本Tor浏览器 ，这些功能包括垂直标签页：提供一种更易于管理的替代布局，打开和固定的标签页堆叠在侧边栏中，而不是横跨窗口顶部。为方便访问，展开时也可直接从侧边栏检索书签。但是，无论用户喜欢水平还是垂直标签页，新增的标签页组功能都会让用户受益：通过将标签页组织成可折叠的组，用户可以为其命名并用颜色编码，从而帮助用户掌控标签页混乱的现象。标签页分组功能允许用户将一个标签页拖放到另一个标签页上，从而创建可折叠的、颜色编码的标签页集合。拥有数十个标签页的用户可以将它们整理到逻辑类别中，而无需滚动浏览无穷无尽的网站图标。

Tor 浏览器 15.0还继承了Firefox浏览器最近地址栏更新的元素，包括一个新的统一搜索按钮，可让用户即时切换搜索引擎、搜索书签或标签页，以及从同一菜单引用快速操作。

Tor团队表示，Tor浏览器标签页仍然是私密标签页，关闭浏览器后标签页会被清除。由于每次新会话都会重新开始，这在Tor浏览器中强制实现了一种自然的整洁。然而，对于注重隐私的高级用户、项目经理、研究人员，或者其他标签页堆积速度极快的用户来说，这些改进能够大幅提升工作效率。

安卓版本Tor浏览器

在安卓（Android）设备上，屏幕锁定功能可为用户的浏览会话增添额外的安全保障，该功能会在切换到其他应用时自动锁定浏览器。在“设置”>“标签页”中启用屏幕锁定后，当用户离开浏览器且未关闭浏览器时，标签页将自动锁定。返回应用后，系统会提示用户使用指纹、人脸识别或密码解锁标签页，具体取决于用户设备配置的选项。个人手机经常会被其他人拿走、交给别人或无人看管，屏幕锁定功能可以有效防止他人随意窥视。

与PC版Tor浏览器一样，关闭Tor浏览器后，用户的浏览会话仍会被清除。不过，此功能在特定情况下能让用户安心：即使有人在Tor浏览器在后台打开的情况下临时访问了用户未锁定的手机，例如将手机交给朋友，还是将手机放在桌子上，用户的浏览记录仍能保持私密。

其他变化

Tor浏览器 15.0将是最后一个支持Linux及Android x86平台的版本

目前，Firefox 140和Tor 浏览器 15.0支持Android 5.0及更高版本，而该Android版本发布已近11年。Mozilla承诺支持如此老旧的Android版本，这令人钦佩，但也给开发者带来了诸多技术和安全挑战。因此，Firefox宣布计划将最低支持要求提高至Android 8.0，并决定放弃对Android和Linux系统x86 CPU的支持。遗憾的是，如果没有Mozilla的官方支持，Tor项目无法独自维持对这些平台的支持。

Tor团队表示，虽然这些变化不会立即影响Tor浏览器用户，但其预计它们将在明年年中Tor浏览器 16.0大版本发布时生效。这意味着Tor浏览器 15.0将是继Android 5.0、6.0和7.0之后，最后一个支持Linux和Android x86平台的主要版本。不过，在Tor浏览器 16.0最终发布之前，Tor团队将继续为这些平台发布包含安全修复的小更新。

WebAssembly的禁用现在由NoScript管理

WebAssembly（简称Wasm）是一种帮助网站和Web应用更快运行的Web技术。它允许Web开发者使用 C、C++或Rust等语言编写程序，并将其编译成一种特殊的格式，以便Web浏览器能够更高效地运行。

为了减少针对Tor浏览器的攻击面，Wasm目前在更安全和最安全级别中处于禁用状态。到目前为止，这是通过将全局首选项设置javascript.options.wasm为false来实现的——然而，在Mozilla在版本128到140之间将其PDF阅读器的部分功能用Wasm实现后，这种方法不再可行。因此，Tor团队决定将Wasm的控制权移交给NoScript，它与Tor浏览器捆绑在一起，并且已经管理JavaScript和其他安全功能。这意味着Wasm现在可以在PDF渲染器等特权浏览器页面上运行，但NoScript将继续在更安全和最安全级别的常规网站上阻止该技术。

将WebAssembly控制权移至NoScript，既能让内置的PDF渲染器在高安全级别下运行，又能让用户在不受信任的网站上阻止WASM。WebAssembly可能被滥用于指纹识别和加密货币挖矿，因此精细的控制至关重要。

新版本集成了Mozilla修复的Firefox浏览器的大量安全漏洞

Tor浏览器 15.0基于Mozilla的扩展支持版本Firefox ESR 140构建，ESR版本包含了Firefox每月发布版本中一年的变更。Tor团队进行了“ESR过渡审核”，审查了大约200个Firefox修改可能损害隐私或安全的问题。Mozilla发布的每一项功能都通过实际威胁建模进行了重新评估。

此次审计意义重大，因为浏览器本身就存在大量的攻击面。Mozilla修复了Firefox ESR 140.1中的五个高危漏洞，以及ESR 140.4中的七个高危漏洞。这些漏洞可被利用，导致任意代码执行。

CVE-2025-8027漏洞影响了64位平台，其中IonMonkey的JIT编译器仅将64位返回值中的32位写入堆栈。攻击者可以利用此漏洞操纵程序执行流程。CVE-2025-8028漏洞影响了运行WebAssembly的Arm64系统。指令中过多的条目br_table会导致标签截断，从而使处理器跳转到错误的内存地址。

CVE-2025-11708是中的一个释放后使用漏洞MediaTrackGraphImpl::GetInstance()。该程序会释放内存，继续使用，攻击者可以用程序随后执行的恶意数据结构填充释放的空间。CVE-2025-11709展示了进程隔离如何失效。受感染的Web内容进程可能会利用被操纵的WebGL纹理触发特权浏览器进程中的越界读写。WebGL会跨进程边界传递GPU命令。如果Web进程在纹理尺寸方面撒谎，GPU进程可能会读取或写入超出分配缓冲区的范围，从而泄露数据或破坏高权限进程的内存。

CVE-2025-11710漏洞利用了进程间通信。来自受感染Web进程的恶意IPC消息可能会迫使特权浏览器进程泄露内存内容。现代浏览器使用多进程架构来遏制漏洞利用。这些漏洞证明，在IPC通道未得到强化的情况下，仅靠进程边界并不能保证安全。

CVE-2025-8031漏洞导致内容安全策略（CSP）违规报告中的HTTP凭据泄露。当使用HTTP基本身份验证的页面触发CSP违规时，Firefox会将凭据发送username:password到CSP报告端点。CSP报告通常会发送到第三方分析服务。此设计缺陷会将凭据泄露给配置CSP报告URI的人员。

CVE-2025-8032漏洞使XSLT文档完全绕过内容安全策略（CSP）。CSP限制了页面可以加载资源的位置。Firefox中的XSLT转换忽略了这些限制，导致攻击者即使在CSP应该阻止的情况下也能加载恶意脚本。

Tor团队希望社区继续支持

Tor浏览器的开发模式与商业浏览器截然不同。谷歌为Chrome浏览器雇佣了数千名工程师，Mozilla为Firefox浏览器也雇佣了数百名工程师。而Tor项目为公益性项目，团队规模很小，资金主要来自捐款和资助。Tor团队前期已经推出2025年度募捐活动，现呼吁大家继续捐助。

Tor团队称，Tor浏览器的持续开发离不开社区的支持。如果用户重视Tor浏览器，那么现在正是支持我们“自由互联网”使命的绝佳时机。所有捐款将由Power Up Privacy进行匹配，有效期至2025年12月31日。