把对的域名走对的出口,是 ChatGPT / Codex 用得稳的前提。下面这份清单按 v2fly 的 geosite:openai 权威源核对过,只列真正属于 OpenAI 的域名,不掺无关的;并讲明 Codex 和 ChatGPT 网页在分流上的差异。可直接复制配置。
geosite:openai 一条搞定,下面也给了。
这几个是主干,少一个都可能登录失败、页面白屏或对话发不出去:
| 域名 | 作用 | 类型 |
|---|---|---|
openai.com | 主域。涵盖 api.openai.com(API / Codex)、auth.openai.com(登录)、platform.openai.com 等所有子域。 | 核心 |
chatgpt.com | ChatGPT 网页与后端。涵盖 ab.chatgpt.com(实验分流)、chatgpt.com/backend-api(含 Codex 后端)等。 | 核心 |
chat.com | OpenAI 收购的短域名,跳转到 ChatGPT,仍会被用到。 | 核心 |
sora.com | Sora 视频生成的主域。 | 核心 |
oaistatic.com | 前端静态资源 CDN(JS / CSS / 字体)。不代理会页面加载不全、白屏。 | 核心 |
oaiusercontent.com | 用户内容:上传的文件、生成的图片、下载链接、Canvas 内容。不代理会上传下载失败。 | 核心 |
crixet.com | OpenAI 关联域名,列在权威清单内,一并代理即可。 | 核心 |
注:早年的 ai.com 只是个历史跳转,现在权威清单(v2fly geosite:openai)已经不收它,不必再加。OpenAI 的登录走 auth.openai.com,已被 openai.com 覆盖,不需要单独去代理整个 auth0.com。
OpenAI 后端混用了 Cloudflare 和 Azure,这些是资源、图片、实时通道的实际落地:
| 域名 | 作用 | 类型 |
|---|---|---|
openai.com.cdn.cloudflare.net | Cloudflare 回源域。 | CDN |
openaicom.imgix.net | 图片处理 CDN。 | CDN |
openaiapi-site.azureedge.netproduction-openaicom-storage.azureedge.net | Azure CDN 上的站点 / 存储资源。 | CDN |
openaicomproductionae4b.blob.core.windows.netopenaicom-api-bdcpf8c6d2e9atf6.z01.azurefd.net | Azure Blob 存储与 Front Door,承载部分文件与 API 站点。 | CDN |
webpubsub.azure.com | Azure Web PubSub,ChatGPT 的实时推送通道(消息流式返回)。OpenAI 用的主机名带随机的区域和编号前缀、每个账号都不同,所以直接按 webpubsub.azure.com 后缀匹配最省事。 | CDN |
ChatGPT 的"verify you are human"用的是 Arkose Labs。虽然是第三方,但这两个是 OpenAI 专用子域,不走代理会卡在验证循环里登不上:
| 域名 | 作用 | 类型 |
|---|---|---|
client-api.arkoselabs.comopenai-api.arkoselabs.com | Arkose 人机验证(拼图 / 验证码)。"unusual activity"反复弹验证,很多时候就是这两个没走对出口,验证 token 拿不到。 | 验证 |
用 ChatGPT 高级语音 / 实时语音才需要,纯文字和 Codex 用不到,但建议一并加上:
| 域名 | 作用 | 类型 |
|---|---|---|
chatgpt.livekit.cloudhost.livekit.cloudturn.livekit.cloud | 语音模式的实时音频(WebRTC / TURN 中继)。语音走 UDP,分流要确保 UDP 也命中规则。 | 语音 |
这两个是 OpenAI 自己埋点用的专用子域,列在权威清单里,建议一并代理避免出口分裂:
| 域名 | 作用 | 类型 |
|---|---|---|
o33249.ingest.sentry.io | OpenAI 专用的 Sentry 错误上报子域。 | 遥测 |
browser-intake-datadoghq.com | Datadog 前端监控。 | 遥测 |
ChatGPT 还会调到一些第三方服务:支付(Stripe)、客服(Intercom)、功能开关(Statsig / LaunchDarkly)、埋点(Segment)等。这些是很多网站共用的域名,不属于 OpenAI,权威清单也不收——核心功能不依赖它们,没必要把整个 stripe.com / intercom.io 都丢进代理。真遇到付款页打不开之类,再按文末的"查日志补白"单独补即可。
chatgpt.com;Codex 多依赖一条 API 链路 api.openai.com。两者基础设施不同,常出现"网页能开但 Codex 报网络错误"、或反过来。所以 Codex 用户务必确认 api.openai.com 也走了同一个干净出口。
chatgpt.com/backend-api/codex;用 API Key 时走 api.openai.com。两者都被 chatgpt.com / openai.com 覆盖。Clash.Meta / sing-box 都内置了 geosite:openai(数据就来自上面对齐的 v2fly 源),核心域名一条覆盖,自动跟着官方更新:
# Clash.Meta
rules:
- GEOSITE,openai,🚀 代理出口
# sing-box
{ "rule_set": "geosite-openai", "outbound": "proxy" }引用社区维护的规则集,省得自己抄域名,规则自动更新:
rule-providers:
OpenAI:
type: http
behavior: classical
format: text
interval: 86400
url: https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/OpenAI/OpenAI.list
path: ./ruleset/OpenAI.list
rules:
- RULE-SET,OpenAI,🚀 代理出口不想引外部规则集,手写这几条核心域名也行:
rules:
- DOMAIN-SUFFIX,openai.com,🚀 代理出口
- DOMAIN-SUFFIX,chatgpt.com,🚀 代理出口
- DOMAIN-SUFFIX,chat.com,🚀 代理出口
- DOMAIN-SUFFIX,sora.com,🚀 代理出口
- DOMAIN-SUFFIX,oaistatic.com,🚀 代理出口
- DOMAIN-SUFFIX,oaiusercontent.com,🚀 代理出口
- DOMAIN-SUFFIX,crixet.com,🚀 代理出口
- DOMAIN-SUFFIX,client-api.arkoselabs.com,🚀 代理出口
- DOMAIN,openai-api.arkoselabs.com,🚀 代理出口
- DOMAIN-SUFFIX,chatgpt.livekit.cloud,🚀 代理出口
- DOMAIN-SUFFIX,host.livekit.cloud,🚀 代理出口
- DOMAIN-SUFFIX,turn.livekit.cloud,🚀 代理出口sing-box 的 route rules 写法:
{
"route": {
"rules": [
{
"domain_suffix": [
"openai.com", "chatgpt.com", "chat.com", "sora.com",
"oaistatic.com", "oaiusercontent.com", "crixet.com",
"client-api.arkoselabs.com",
"chatgpt.livekit.cloud", "host.livekit.cloud", "turn.livekit.cloud"
],
"outbound": "proxy"
}
]
}
}chatgpt.com、openai.com、api.openai.com 三行——Codex 用户重点确认 api.openai.com 这一行是通的。三行有一行不通,就是分流漏了对应域名。api.openai.com,补上即可;登录卡在人机验证,多半是漏了 client-api.arkoselabs.com 这个验证域名。
geosite:openai 为准核对,只列 OpenAI 真正自有/专用的域名。清单会随官方调整变化,建议直接用 geosite:openai 或上面的 rule-providers 自动更新,比手写省心。仅供参考。