一、先對齊症狀:轉圈與 TLS 失敗多半不是「單一網址」問題

當你在 Cursor 設定檔或圖形介面中新增一個遠端 MCP,編輯器通常要同時完成幾件事:讀取設定、解析伺服器位址、下載或快取相依模組、向遠端完成鑑權,最後建立一條能持續收事件的通道(在 SSE 場景尤其明顯)。只要其中任一步驟命中錯誤的策略群組、被 DIRECT 丟進不可達的區域網路、或與前一步的 TLS 終端不一致,你看到的就會是「整體壞掉」——使用者介面上卻只剩一直轉圈或偶發錯誤訊息。

因此請避免一開始就只懷疑「節點太慢」。更務實的做法是:先確認AI 開發工具鏈相關連線是否一致進入 Clash 核心,再用連線日誌把「下載/鑑權」與「長連線」兩段拆開觀察。若你連訂閱都尚未匯入成功,建議先完成《Clash 訂閱連結怎麼用?機場設定檔案一鍵匯入完整教程》,避免在策略名稱不確定時反覆試錯。

二、把 MCP 傳輸鏈畫清楚:市集是一條路,MCP 是另一條路

為了避免與市集專文重複,這裡用「鏈路」而不是「功能表名稱」來思考。遠端 MCP 常見會涉及:registry 或套件索引(例如從 npm 生態拉取伺服器實作)、GitHub 或類似程式碼託管(README、Release、raw 檔案、git 操作)、第三方供應商 API(雲端函式、閘道、企業內部服務),以及最後連到 MCP 伺服器本體的 HTTPS;若傳輸型態是 SSE,同一個主機名稱上還會出現長時間保持開啟的連線,對中途代理、連線逾時與規則順序更敏感。

這代表:你把 github.com 走代理、卻讓 objects.githubusercontent.com 直連失敗,仍可能導致「伺服器程式碼看得到、相依下載卻卡住」;或登入與控制面走代理,但 SSE 路徑被另一條規則提前 DIRECT,就會出現「偶爾連上、隨即斷線」的體感。這些都不是靠換一個節點就能穩定解決的類型,而是Clash 分流與 DNS 需要對齊的類型。

三、GitHub 與周邊:為什麼「只代理主站」常常不夠

許多 MCP 伺服器專案託管在 GitHub,安裝指引會要求你以 npx、容器映像或原始碼方式啟動。實務上日誌裡常見的後綴家族包含(請以你環境實測為準):github.comapi.github.comraw.githubusercontent.comgithubusercontent.comobjects.githubusercontent.com 等。它們在 TLS、CDN 與快取行為上並不相同;若規則只覆蓋其中一兩個後綴,最容易出現「瀏覽器開 GitHub 正常,但 Cursor 背景任務仍失敗」的落差。

撰寫規則時,優先使用 DOMAIN-SUFFIX 對齊子網域樹,並維持同一策略脈絡:也就是「同一個安裝流程會連到的主機名稱」盡量落在同一個策略群組,避免被地區直連清單或過寬的關鍵字規則拆散。若你也使用 GitHub Copilot 與微軟帳號相關服務,可併讀《GitHub Copilot 與模型流量怎麼分流?Clash 規則實測(微軟帳號與 API)》,理解「開發者帳號與 CDN」不宜混抄,但可以把「GitHub 後綴要寫齊」當共同原則。

四、SSE 與長連線:分流正確之後還要檢查「會不會被中間斷流」

SSE(Server-Sent Events)建立在 HTTPS 之上,但連線生命週期比一般 REST 請求長得多。若你的網路環境對長連線不友善——例如某些透明代理、公司閘道、或節點型態對閒置連線過早回收——即使 Cursor MCP 的網域規則「看起來正確」,仍可能表現為工具呼叫成功幾次後突然卡住、或重新整理後再也連不上。這類問題要與「純 TLS 失敗」區分:前者更像連線維持問題,後者更像解析或出口不一致。

實務上請把 MCP 伺服器的主機名稱(設定檔裡的 host)視為最高優先要對齊的目標:包含其 API 路徑與 SSE 路徑是否都命中同一策略群組。若 MCP 架在雲端供應商子網域上,請避免只用超大關鍵字把整個雲廠商一刀切進代理,否則可能拖慢其他無關服務;改以日誌中實際出現的完整主機名稱歸納後綴,逐步收斂。

五、建議排查順序:先證明「進核心」,再談規則細節

下列順序與站內其他「多子網域」專文一致:先把觀測做穩,再寫規則。

  1. 確認 Clash 正在執行,並依場景選擇系統代理或 TUN 模式;若 Cursor 與背景程序未完整跟隨系統代理,優先驗證 TUN。
  2. 在「啟用 MCP」「觸發一次工具」「重新載入視窗」三個動作下,各開啟一次連線日誌,檢查相關主機名稱是否一致命中預期策略,而非被過寬的 DIRECT 提前截走。
  3. 檢查 DNS 模式(是否 fake-ip)、以及 GitHub 與 MCP 主機是否在 fake-ip-filternameserver-policy 中有合理設定,避免解析與連線策略互相打架。
  4. 若 TLS 仍失敗,改以終端機對同一主機做最小化驗證(見下一節),確認問題在「出口」還是「本機憑證/攔截軟體」。
  5. 在規則已正確命中的前提下,再評估節點品質與長連線相容性;若上游明確阻擋特定流量型態,已超出純 Clash 分流可單獨解決的範疇。

若你需要讓終端機的 curlgitnpm 與編輯器共用同一套出口,亦可對照《Mac 終端機 curl、Git、npm 仍直連?用環境變數讓指令行走 Clash》,避免「IDE 走代理、CLI 直連」造成 MCP 安裝步驟一半成功一半失敗。

六、驗證指令怎麼用:把「握手失敗」變成可讀的證據

以下命令僅用於本機診斷,請將主機名稱與路徑替換成你的 MCP 伺服器位址(示意):

# TLS handshake and certificate chain (replace HOST/PATH)
curl -vI "https://HOST/PATH" --max-time 20

# Show DNS resolution path (example with getent on Unix-like systems)
getent hosts github.com
getent hosts api.github.com

curl -vI 在系統層已失敗,但開啟 TUN 後成功,代表瓶頸多半是「應用程式流量未進核心」或「策略未覆蓋該主機」。若系統層成功、Cursor 內仍失敗,則要回頭檢查應用程式是否使用獨立代理設定、或是否被端點安全軟體攔截 HTTPS。請記得:診斷指令的結果要與 Clash 連線日誌交叉對照,才不會把問題誤判成單一外掛故障。

七、分流規則範例骨架(請替換策略群組名稱)

下列 YAML 片段示範「先把 GitHub 家族與 MCP 主機寫清楚」的寫法;請將 PROXY 替換為實際策略群組名稱,並把 YOUR_MCP_HOST 換成日誌中出現的伺服器主機名稱。規則順序上,更具體的 MCP 主機應放在過寬的 MATCH 與地區直連清單之前。

# Example only — replace PROXY and YOUR_MCP_HOST; keep order intentional
rules:
  - DOMAIN-SUFFIX,github.com,PROXY
  - DOMAIN-SUFFIX,githubusercontent.com,PROXY
  - DOMAIN-SUFFIX,github.io,PROXY
  - DOMAIN-SUFFIX,YOUR_MCP_HOST,PROXY

若你的 MCP 還會連到 npm registry、容器 registry 或特定雲端 API,請各開一段「依日誌補齊」的 DOMAIN-SUFFIX 條目,而不是用單一 DOMAIN-KEYWORD 硬扫。關鍵字規則在 AI 開發工具鏈場景裡非常容易誤傷其他 HTTPS 服務,後期很難除錯。

八、DNS 與 fake-ip:為什麼「解析正確」仍可能 TLS 對錯出口

fake-ip 模式下,解析與連線決策分屬兩個階段;若 GitHub 代理相關後綴沒有被妥善納入解析策略,可能出現「瀏覽器顯示的 IP」與「Clash 實際連線命中的出口」不一致的現象。對 MCP 這種會反覆建立連線的流程,這會放大成「第一次成功、後續隨機失敗」。

實務上可以分兩步:第一,確認上游 DNS 可信且可達;第二,對反覆出問題的後綴設定更穩定的解析策略,並在每次調整後用連線日誌比對命中是否改變。若你尚未熟悉 TUN 與路由關係,建議先閱讀《Clash TUN 模式開啟方法》再開啟實驗,避免與公司 VPN 或虛擬網卡衝突。

九、檢查清單:用表格收斂「該懷疑什麼」

下表整理撰寫 Cursor MCP 相關規則時的檢查角度;欄位中的主機名稱會隨專案與供應商變動,務必以實測為準。

階段常見主機名稱方向設定提示
程式碼與資產下載github.comobjects.githubusercontent.com同一安裝流程涉及的後綴盡量同一策略脈絡,避免 raw 與 API 分流兩個出口。
套件/映像來源日誌中的 registry 主機與 GitHub 分開觀測;不要假設同一個 PROXY 節點對兩者都友善。
MCP 控制面設定檔中的 MCP host鑑權與 REST 類請求與 SSE 長連線應命中一致出口。
SSE 長連線同上主機的 event stream 路徑注意逾時、閒置回收與 UDP 無關但仍會被中間設備影響的 TCP 保持機制。

十、圖形用戶端裡怎麼少踩坑

在 Clash Verge Rev 等用戶端中,建議開啟即時連線清單,篩選 github 與你的 MCP 主機關鍵字,逐條確認策略。若某條顯示 DIRECT,請回到規則表檢查是否有地區分流、去廣告或「繞過區域網」類規則前置命中。

若桌面端基礎設定尚未完成,可先依《Clash Verge Rev 完整設定教學》跑通訂閱與模式,再回到本文補 MCP 專用規則,可節省大量試錯時間。

十一、小結:把 MCP 問題收斂成「網域集合+長連線」兩件事

2026 年在 Cursor 這類工具裡使用 MCP,遇到一直轉圈TLS 握手失敗時,請先與擴充功能市集場景分流:前者多發生在GitHub 代理、registry、供應商 API 與 MCP 主機是否被規則拆散;後者則仍可能與市集、CDN 與模型端點有關。當你把觀測重點放在SSE 這類長連線與實際日誌主機名稱上,Clash 分流才會越寫越精準,而不是靠盲目更換節點卻無法改善體驗。

當你希望把觀測、規則與核心更新集中在同一套成熟用戶端時,官方維護方案通常能降低手寫 YAML 的低階錯誤;相較其他同類工具,Clash 在規則透明度與日誌對照上往往更一致。→ 立即免費下載 Clash,開啟流暢上網新體驗