GitHub Copilot 擴充裝不上？用 Clash 為 GitHub 與微軟網域做分流

為什麼市集、Copilot 與 GitHub 常「不同步」故障

VS Code 的擴充市集、Copilot 外掛與底層更新，往往會同時打到微軟營運的市集與 CDN、github.com 與 api.github.com、以及登入與權杖相關的 microsoft.com／login.microsoftonline.com 等主機。它們在網路策略上並非「同一個網站」：CDN 節點可能在你所在區域直連較穩，而某些 API 或身分端點在跨境路徑上更容易握手慢、重試多。當 Clash 的預設策略或第三方規則把這些主機混在同一條慢速代理裡，就會出現「網頁能開、市集卻一直轉圈」「Copilot 顯示已登入但補全永遠 pending」等表象不一致。

另一種常見情況是只開了系統代理：Electron 類編輯器對系統代理的繼承並非永遠與瀏覽器一致，子行程或內建下載器可能仍嘗試直連，結果一部分請求走代理、一部分直連，OAuth 流程與後續 API 呼叫落在不同出口，表現為間歇性 API 逾時或授權狀態錯亂。把問題還原成「每一類主機名實際命中哪個策略組」「編輯器行程是否被 TUN 或代理環境覆蓋」，比反覆重裝擴充或重登帳號更能對症下藥。

ℹ 先對齊目標：你要的是「市集套件能下載」「GitHub API 不回 000／逾時」「微軟帳號與 Copilot 後端握手穩定」。三者對延遲與長連線的敏感度不同，適合用網域分流分開調校，而不是只靠一個「全局 PROXY」開關賭運氣。

先把流量分桶：CDN、github.com、API、微軟帳號

實務上可先在心裡畫四個桶（實際主機名會隨產品改版變動，以下為常見族類，排障時請以你客戶端連線日誌為準）：

擴充市集與相關 CDN：負責套件中繼資料、VSIX 或分塊下載，常見為 marketplace.visualstudio.com、*.vsassets.io、*.blob.core.windows.net 等 Azure／CDN 後綴。這類流量往往大檔、多連線，對頻寬與 TCP 穩定度敏感。
GitHub 網站與一般 HTTPS：github.com、*.github.com 等，影響網頁登入、部分設定頁與跳轉。若只 API 逾時但網頁正常，仍要檢查是否不同子網域走了不同策略。
GitHub API：api.github.com、GraphQL 端點等，Copilot 與許多外掛會依賴 REST／GraphQL。此處常是小封包高頻或長輪詢，節點抖動會直接變成編輯器內的錯誤訊息。
微軟身分與 Copilot 後端：microsoft.com、login.microsoftonline.com、*.microsoft.com 與 Copilot 服務相關主機（實際名稱請以日誌為準）。登入與權杖交換任一環節被錯誤分流，都會讓後續 API 全部失敗。

分桶之後，你才能決定哪一桶在你的網路環境下適合 DIRECT、哪一桶必須走低延遲代理。沒有放諸四海皆準的答案：同一組規則在住家寬頻與公司網路可能完全相反，因此務必以連線日誌＋對照實驗驗證，而不是複製貼上別人的巨型規則集後不再維護。關於規則順序、策略組命名與可讀性，建議搭配規則分流最佳實踐一併閱讀。

用規則與規則集做網域分流

Clash 系核心通常支援 DOMAIN、DOMAIN-SUFFIX、DOMAIN-KEYWORD 等條件，將流量導向具名策略（如 DIRECT、REJECT 或自訂 proxy-groups 名稱）。對 GitHub／微軟生態，實務上常見兩種組合：（1）在本地 rules: 頂部用幾條高優先的 DOMAIN-SUFFIX 固定「你一定想這樣走」的網域；（2）其餘交給訂閱附帶的規則集（rule-providers）做區域與網站大類分流，再在本地用更細的規則覆蓋例外。

規則順序至關重要：越上面越先命中。若某條寬鬆規則先把 *.microsoft.com 送去慢節點，後面再寫 marketplace.visualstudio.com 也救不回來——除非你把細則放在前面，或改用更精確的匹配。對開發者而言，建議為「Copilot／市集／GitHub API」各保留一小段有註解的分組，並在升級訂閱或換規則集後重新打開日誌確認命中是否漂移。

若你使用社群維護的規則集，注意其中可能含廣告攔截或隱私清單，偶爾會誤傷分析或 CDN 子網域，表現為「只有市集白屏／下載停在 0%」。此時應以日誌中的實際 SNI 或主機名為準，補一條放行規則或調整規則集版本，而不是關掉整個 Clash。

設定示意：後綴規則與策略組

下面是一段僅供結構示意的片段：網域名稱、策略名稱與縮排請依你所用的核心與訂閱調整，切勿當成唯一標準答案。程式註解使用英文，以利版本控制與跨語言協作。

rules fragment (illustrative — adjust to your profile)

# Higher priority: pin known host suffixes before broad GEOIP / MATCH rules
DOMAIN-SUFFIX,github.com,PROXY
DOMAIN-SUFFIX,githubusercontent.com,PROXY
DOMAIN-SUFFIX,api.github.com,PROXY
DOMAIN-SUFFIX,marketplace.visualstudio.com,DIRECT
DOMAIN-SUFFIX,vsassets.io,DIRECT
DOMAIN-SUFFIX,microsoft.com,PROXY
DOMAIN-SUFFIX,live.com,PROXY
DOMAIN-SUFFIX,microsoftonline.com,PROXY
# ... your rule-providers and remaining rules ...

上例中 PROXY 代表你實際的代理策略組名稱（例如 ♻️ 自動選擇 或自訂的 AI-LOW-LATENCY），DIRECT 表示直連。是否該把市集 CDN 設為直連，完全取決於你所在網路對 Azure CDN 的連線品質：若直連反覆逾時，就應改走延遲較低且穩定的代理組，並觀察下載是否恢復。重點是可解釋的決策，而不是迷信某一條複製來的規則。

系統代理、TUN 與 VS Code 行程誰優先

系統代理由作業系統或 Clash 客戶端寫入 HTTP／HTTPS 代理位址，對「會讀取系統代理設定」的應用生效。好處是侵入性較低、與公司政策較容易並存；壞處是部分 Electron 子行程、背景更新器或內建 fetch 可能不完全跟隨同一設定，導致你看到「一半請求有代理、一半沒有」。

TUN 模式在系統路由層把符合條件的 IP 流量交給 Clash 處理，對「不讀環境變數、不讀系統代理」的程式覆蓋較完整，較適合希望編輯器與 CLI 行為一致的開發者。代價是需要虛擬介面權限，且可能與其他 VPN、零信任客戶端或公司全隧道 VPN 爭奪路由表。關於 TUN 與透明代理的邊界，可延伸閱讀 TUN 模式深度解析。

優先順序的實務理解可以這樣記：在啟用 TUN 且路由正確的前提下，多數IP 層流量會先經過 Clash 決策；系統代理則主要影響顯式使用 HTTP 代理的應用。若你同時開啟兩者，又疊加瀏覽器擴充套件代理，就可能出現重複代理或迴圈。排障時建議先減法：只保留一種接管方式，確認市集與 Copilot 恢復後，再加回其他工具。

VS Code 本身亦可在設定中指定 http.proxy；當 Clash 與編輯器代理並存時，請確保兩者指向同一個本機入口（例如 mixed-port），並避免在 NO_PROXY 或 Clash 規則中把市集主機意外排除。若你不確定哪個客戶端最利於觀察命中策略，可先參考如何選擇適合自己的 Clash 客戶端。

DNS、fake-ip 與 API 逾時的關係

當 Clash 使用 fake-ip 時，本機應用可能先拿到一個虛擬位址，真實解析發生在代理路徑上。若某些 github.com 或 microsoft.com 子網域被錯誤匹配到 fake-ip，卻又沒有對應走代理的規則，就會出現「解析很快、連線永遠逾時」的體感。處理方式通常是：為業務關鍵後綴補明確規則，或調整 fake-ip 過濾／嗅探設定，使解析路徑與路由決策一致。

企業內網若強制內部 DNS，也可能與 Clash 的遠端解析打架，造成部分主機被導向不可達位址。此類問題應在合規前提下與網管確認，或在外部網路環境做對照實驗。更多 DNS 與連通性觀念可見常見問題。若逾時集中在 TLS 握手階段，亦可對照連線日誌與 TLS 排查，區分是路由問題還是節點協定相容性。

和 Cursor 專文有什麼不同

本站 Cursor 與 Clash 專文偏重另一套 AI 程式工具的 OAuth、長連線與 API 特徵，網域與 Copilot／VS Code 市集不完全重疊。本文則聚焦 GitHub Copilot、VS Code 擴充市集與 github.com／microsoft.com 生態，把「套件下載／登入／API」拆開討論。若你兩套工具都用，可以共用同一套 Clash 核心與日誌方法，但規則表建議分區維護，避免互相覆蓋時難以追溯。

⚠ 合規提示：請遵守當地法規、公司資訊安全政策與各服務條款。本文僅說明在合法授權網路環境下如何讓路由決策更一致，不鼓勵未經許可繞過組織管控或存取未授權資源。

合規情境下的自檢清單

確認目前環境允許使用 Clash 與存取 GitHub／微軟相關服務。
在 Clash 日誌中記錄失敗當下的主機名與策略命中，區分市集、API 與登入網域。
檢查規則順序：細粒度規則是否被寬鬆規則提前吃掉。
對比僅系統代理與僅 TUN（分次測試），觀察 VS Code 行為是否一致。
核對 DNS／fake-ip 設定，排除「解析與路由不一致」造成的假逾時。
確認訂閱與規則集更新通道沒有陷入循環代理，避免規則長期過期。
必要時更換節點或策略組，並保留變更前後日誌以利對照。

結語

GitHub Copilot 與 VS Code 擴充市集背後是多條彼此依賴的 HTTPS 與 API 路徑；只要其中一類 github.com 或 microsoft.com 相關流量被送到錯誤出口，就會在 UI 上放大成安裝失敗或 API 逾時。把問題拆成 CDN、GitHub API、身分驗證與 Copilot 後端，再用 Clash 的網域分流與可讀規則逐步對齊，通常比反覆重裝更有效。相較單一「全局代理」賭命，透明、可驗證的路由決策更符合開發者日常。

在工具選型上，能清楚呈現命中規則、支援現代核心、並讓系統代理與 TUN 切換成本低的客戶端，會顯著縮短你在編輯器與代理之間來回試誤的時間。比起追求神秘一鍵設定，把每一條關鍵網域對應到可解釋的策略組，才是長期可維護的做法。

→ 立即免費下載 Clash，開啟流暢上網新體驗，用更穩定的分流與更清楚的日誌，把時間留在寫程式與使用 Copilot，而不是卡在擴充下載與登入轉圈。