30 项反检测测试,30 项全过。
CloakBrowser,一个基于 Chromium 二次开发的 Stealth 浏览器,本周 GitHub Trending 上以每周 8,618 星的速度窜到了第一名。官方描述很直接:「Drop-in Playwright replacement with source-level fingerprint patches」——把 Playwright 换掉,直接用这个,所有 bot 检测全部通过。
这玩意儿背后的信号,比 star 数本身重要得多。
为什么需要这个东西
简单说:现在做自动化网页抓取越来越难了。
Cloudflare 的 Turnstile、reCAPTCHA v3、Akamai Bot Manager、PerimeterX——这些反 bot 系统的检测维度已经从最早的「检查 User-Agent 字符串」进化到了十几个层面:Canvas 指纹、WebGL 渲染特征、TLS 指纹、鼠标移动模式、键盘事件时序、甚至 GPU 型号和字体列表。
普通 Playwright 或者 Puppeteer 打开的浏览器,在这些系统眼里就像穿着「我是机器人」的 T 恤在街上走。你连页面 HTML 都拿不到,直接被 403。
CloakBrowser 的做法是:在源码级别修改 Chromium 的指纹特征。不是加个插件伪装一下,而是从浏览器引擎层面改掉那些会被检测到的特征。这就是它为什么能通过 30/30 测试——反检测系统检查的每个点,它都在底层做了手脚。
灰色地带
但这件事有个绕不开的问题:合法性。
CloakBrowser 的 README 明确写了用于「bot detection testing」和「security research」。但说实话,大部分人用它干什么,项目维护者控制不了。
绕过 Cloudflare 的 bot 检测,去抓不该抓的数据,这已经不是技术问题,是法律问题。美国 CFAA(计算机欺诈与滥用法案)、欧盟 GDPR、中国的网络安全法,都对未经授权的自动化数据获取有明确规定。
这不是说 CloakBrowser 本身违法。工具是中性的。但用在哪里、怎么用,决定了它是安全研究工具还是违规爬虫引擎。
军备竞赛的下一阶段
反检测技术的进化不会停。CloakBrowser 今天能过 30/30,明天 Cloudflare 更新算法,可能就只能过 25/30。然后 CloakBrowser 再更新,再回到 30/30。这是一个永无止境的猫鼠游戏。
但有趣的是:AI 让这个游戏变得更激烈了。
以前写一个能过检测的爬虫,需要一个资深工程师花几周。现在有了 LLM,一个普通开发者用 CloakBrowser + AI 辅助,几小时就能搭出一个能绕过大部分检测的采集系统。门槛从「资深工程师 + 几周」降到了「会用 AI 的开发者 + 几小时」。
这意味着什么?意味着反检测系统面对的不再是几百个专业爬虫团队,而是成千上万个半吊子选手。量变会引起质变。
值得观察的指标:Cloudflare 等公司的 bot 检测更新频率、CloakBrowser 的 issue 区有没有出现法律相关的讨论、以及是否有其他厂商跟进类似的 stealth 浏览器项目。
主要来源:
- CloakHQ/CloakBrowser on GitHub — 13K+ stars, 8,618 this week
- Cloudflare Turnstile 文档
- Akamai Bot Manager 技术白皮书