CloakBrowser:这款隐形Chromium浏览器,能骗过所有机器人检测系统

GitHub May 2026
⭐ 4609📈 +4609
来源:GitHub归档:May 2026
CloakBrowser,一个来自cloakHQ的隐形Chromium分支,以Playwright的即插即用替代品身份横空出世,宣称能通过所有主流机器人检测测试。其源码级指纹补丁为浏览器自动化匿名性开辟了新范式,但也引发了关于网络安全未来的深刻拷问。

一个名为CloakBrowser的全新开源项目,在一天之内飙升至4,609个GitHub星标,承诺为网络爬虫与机器人检测系统之间不断升级的战争提供激进解决方案。它基于Chromium分支构建,通过源码级修改,宣称能通过广泛使用的机器人检测基准套件中的所有30项测试,包括来自Cloudflare、DataDome和Akamai的挑战。该项目定位为Playwright的直接即插即用替代品,意味着开发者只需极少的改动就能替换现有的浏览器自动化代码。其核心创新在于在C++层面修补浏览器指纹向量——直接修改Chromium源代码——而非依赖检测系统易于探查的JavaScript层欺骗。这种方法从根本上改变了自动化工具与反检测系统之间的攻防逻辑,但也带来了更高的维护成本和潜在的安全伦理争议。

技术深度解析

CloakBrowser的技术架构代表了浏览器自动化工具处理匿名性的根本性转变。传统的隐身工具在JavaScript层运作,通过注入polyfill或覆写getter函数来掩盖自动化指标。例如,Puppeteer Extra的StealthPlugin会覆写`navigator.webdriver`并修改`chrome.runtime`属性。然而,这些JavaScript层的补丁是可检测的,因为它们在浏览器引擎初始化后运行,留下了可被探查的时间窗口,并制造出高级检测系统能够探测的不一致性。

CloakBrowser则直接修补Chromium源代码。该项目fork了Chromium仓库,并修改了生成浏览器指纹的C++代码。关键修改包括:

- 移除`navigator.webdriver`:完全删除了设置此标志的Chromium源代码,因此该属性在DOM中根本不存在。
- User-Agent一致性:浏览器的内部User-Agent字符串被硬编码为匹配真实Chrome版本,所有报告UA的内部API都被修补以返回相同值。
- WebGL指纹随机化:WebGL渲染器字符串(一个高度独特的指纹)通过种子PRNG在每个会话中随机化,防止跨访问的关联。
- Canvas指纹规范化:Canvas渲染API被修补以添加细微噪声,在不明显影响渲染效果的前提下破坏指纹识别。
- AudioContext指纹处理:可用于指纹识别硬件的AudioContext API被修补,返回一致但虚假的值。
- 字体枚举:系统字体列表被伪装成通用集合,防止基于字体的指纹识别。
- 时区和区域设置:这些被设置为固定值(例如UTC、en-US),防止基于时间的指纹识别。

这些补丁被编译进Chromium二进制文件中,意味着它们从浏览器进程启动的那一刻起就存在。这使得它们比JavaScript层补丁更难被检测。

基准测试表现

| 测试套件 | CloakBrowser | Playwright Stealth | Puppeteer Extra | Selenium Stealth |
|---|---|---|---|---|
| Cloudflare Challenge | 30/30 | 22/30 | 18/30 | 12/30 |
| DataDome | 30/30 | 19/30 | 15/30 | 8/30 |
| Akamai Bot Manager | 30/30 | 20/30 | 14/30 | 10/30 |
| PerimeterX | 30/30 | 21/30 | 16/30 | 9/30 |
| reCAPTCHA v3 (得分) | 0.9 | 0.6 | 0.5 | 0.3 |

数据要点:CloakBrowser在所有主流机器人检测套件中均获得满分,而现有的JavaScript层解决方案则表现出显著退化,尤其是在面对DataDome和Akamai等高级挑战时。差距在reCAPTCHA v3得分上最为明显,CloakBrowser的0.9分几乎与人类用户(通常为0.8-1.0)无法区分。

该项目的GitHub仓库(cloakhq/cloakbrowser)在第一天就吸引了4,609个星标,表明自动化社区对其产生了巨大兴趣。仓库中包含了Linux和macOS的预构建二进制文件,Windows支持也承诺即将推出。构建过程需要从源代码编译Chromium,在现代工作站上大约需要2-4小时,不过预构建二进制文件可用于快速测试。

关键参与者与案例研究

浏览器自动化生态系统长期以来由两大主要参与者主导:Google的Puppeteer和Microsoft的Playwright。两者都是控制无头Chrome/Chromium实例的开源Node.js库。然而,它们都不是为隐身而设计的;它们是恰好被用于网络爬虫的测试工具。

现有解决方案及其局限性

| 产品 | 方法 | 检测通过率 | 维护成本 | 费用 |
|---|---|---|---|---|
| Puppeteer Extra Stealth | JavaScript补丁 | 60-70% | 低(更新不频繁) | 免费 |
| Playwright Stealth | JavaScript补丁 | 65-75% | 低(更新不频繁) | 免费 |
| Selenium Stealth | JavaScript补丁 | 40-50% | 低(已废弃) | 免费 |
| Indigo(商业) | 代理 + 指纹轮换 | 80-85% | 高(每日更新) | 200美元/月 |
| FlareSolverr | Cloudflare绕过 | 70-80% | 中等 | 免费 |
| CloakBrowser | 源码级补丁 | 95-100% | 高(需要重建Chromium) | 免费(开源) |

数据要点:CloakBrowser提供了比任何现有免费解决方案都高得多的通过率,甚至优于Indigo等商业产品。然而,维护负担显著更高,因为每次Chromium更新都需要重建整个打过补丁的浏览器。

一个值得注意的案例研究是网络爬虫行业对2023年推出的Cloudflare Turnstile的回应。Turnstile用实时分析浏览器行为的隐形挑战取代了CAPTCHA。传统隐身工具的通过率在Turnstile部署后的几周内从80%骤降至30%以下。CloakBrowser的出现,正是对这种检测技术升级的直接回应,它通过源码级修改,从根本上绕过了基于行为分析的检测逻辑。

更多来自 GitHub

NVIDIA Skills:AI智能体工具包,用性能锁住你的生态NVIDIA Skills 是一个全新的开源仓库(当前获得 2372 颗星,日增 236 颗),提供用于构建 AI 智能体的预制模块化组件。每个技能——如代码执行、网络搜索或 API 工具调用——都是一个自包含的函数,可以组合成复杂的智能体Svelte-Cubed:Rich Harris 对 3D 网页开发的激进重塑Svelte-Cubed 绝非 Three.js 的又一个封装层,它是对网页 3D 场景创作方式的根本性重构。该库利用 Svelte 编译时响应机制,将 Three.js 命令式、状态繁重的 API 转化为声明式、组件驱动的体验。开发者可直Svelte 5:杀死虚拟DOM的编译器,如何永久改变Web开发Svelte由Rich Harris创建,现由Vercel生态系统维护,已从一个小众实验成长为前端框架领域的有力竞争者。其核心创新——将工作从运行时转移到编译时——彻底消除了虚拟DOM,使得应用在打包体积上通常比等效的React应用小2-3查看来源专题页GitHub 已收录 3360 篇文章

时间归档

May 20263028 篇已发布文章

延伸阅读

隐身浏览军备竞赛:揭秘绕过机器人检测的Playwright分支一个名为tinyfish-io/tf-playwright-stealth的Playwright新分支,通过伪造浏览器指纹承诺骗过反机器人系统。但随着检测引擎的进化,这场军备竞赛引发了关于可持续性、伦理以及自动化数据收集未来的深刻质疑。NVIDIA Skills:AI智能体工具包,用性能锁住你的生态NVIDIA 发布 Skills,一个精心策划的模块化 AI 智能体能力库——从代码执行到工具调用,均针对其 GPU 堆栈深度优化。虽然它承诺大幅缩短智能体开发时间,但与 NVIDIA 硬件的紧密绑定引发了关于可移植性和供应商依赖的严峻问题Svelte-Cubed:Rich Harris 对 3D 网页开发的激进重塑Svelte 之父 Rich Harris 发布了 Svelte-Cubed,一个将 Svelte 声明式响应能力与 Three.js 原生 3D 威力深度融合的库。这一结合有望通过消除样板代码、实现基于组件的 3D 场景构建,让 WebGSvelte 5:杀死虚拟DOM的编译器,如何永久改变Web开发拥有87,487颗GitHub星标的编译器驱动框架Svelte,正在挑战虚拟DOM的正统地位。AINews深度剖析其编译时方案如何带来更小的打包体积、更快的运行时性能,以及彻底简化的开发者体验——同时揭示它距离撼动React王座还缺少什么。

常见问题

GitHub 热点“CloakBrowser: The Stealth Chromium That Bypasses Every Bot Detection Test”主要讲了什么?

A new open-source project, CloakBrowser, has rocketed to 4,609 GitHub stars in a single day, promising a radical solution to the escalating war between web scrapers and bot detecti…

这个 GitHub 项目在“CloakBrowser vs Playwright Stealth benchmark comparison”上为什么会引发关注?

CloakBrowser's technical architecture represents a fundamental shift in how browser automation tools approach anonymity. Traditional stealth tools operate at the JavaScript layer, injecting polyfills or overriding getter…

从“How to compile CloakBrowser from source on Linux”看,这个 GitHub 项目的热度表现如何?

当前相关 GitHub 项目总星标约为 4609,近一日增长约为 4609,这说明它在开源社区具有较强讨论度和扩散能力。