CloakBrowser：从C++源码级改造Chromium，让Bot检测全部失效

3.5个月24000+ Stars，30/30通过所有检测。这不是又一个Playwright wrapper，而是从浏览器内核层面重写的反检测方案。

问题：为什么你的自动化总是被拦截？

做网页自动化的人都经历过：

• Cloudflare Turnstile 直接拦截
• reCAPTCHA 死活过不去
• FingerprintJS 精准识别出你是机器人
• 用了undetected-chromedriver，还是被检测出来

根本原因： 传统方案都是在JavaScript层面做伪装（修改navigator.webdriver、注入脚本绕过检测），但现代Bot检测已经深入到浏览器底层——Canvas指纹、WebGL渲染、音频上下文、字体枚举、WebRTC行为……JS层的伪装根本不够。

CloakBrowser的解法：从C++源码改

CloakBrowser不是在Chromium外面套一层壳，而是直接修改Chromium的C++源码，重新编译出一个"隐身版"浏览器。

58个源码级补丁

关键区别：

• JS注入方案：检测方只要检查原始API就能识破
• 源码级方案：API本身就是真的，只是返回值不同

Humanize模式

from cloakbrowser import CloakBrowser

browser = CloakBrowser(humanize=True)
# 自动启用：
# - 贝塞尔曲线鼠标移动（模拟人类手抖）
# - 正态分布键盘延迟（快慢交替）
# - 随机滚动节奏
# - 自然的页面停留时间

检测结果

使用方式

# Python SDK
pip install cloakbrowser

from cloakbrowser import sync_playwright

with sync_playwright() as p:
    browser = p.chromium.launch(humanize=True)
    page = browser.new_page()
    page.goto("https://目标网站.com")
    # 像正常使用Playwright一样操作

// Node.js SDK
npm install cloakbrowser

const { chromium } = require('cloakbrowser');
const browser = await chromium.launch({ humanize: true });
const page = await browser.newPage();
await page.goto('https://目标网站.com');

三行代码替换Playwright/Puppeteer，现有自动化脚本几乎不用改。

应用场景

1. 数据采集与市场调研

• 竞品价格监控
• 行业数据采集
• 舆情分析

2. 自动化测试

• 测试网站在被Bot检测环境下的功能表现
• 安全团队的渗透测试工具

3. AI Agent浏览网页

• 让AI Agent能正常访问有反爬保护的网站
• 为RAG系统提供更广泛的数据源

⚠️ 风险与合规提醒

必须明确的边界：

1. 遵守网站ToS：如果网站明确禁止自动化访问，应尊重其规则
2. robots.txt：始终检查并遵守
3. 数据隐私：不采集个人信息，遵守GDPR/CCPA
4. 频率控制：不要对目标网站造成DDoS级别的请求压力
5. 合法用途：仅用于合法的数据采集、测试和研究

灰色地带警告：

• 绕过付费墙获取内容 → 可能侵权
• 批量注册/刷单 → 违法
• 绕过身份验证 → 可能触犯计算机犯罪法

技术本身是中性的，关键在于使用者的目的。

技术价值判断

CloakBrowser的技术路线值得关注，因为它代表了一个趋势：反检测技术正在从"伪装"走向"真实"。

以前的方案是"假装自己是人类"，CloakBrowser的方案是"我就是一个真实的浏览器，只是指纹和别人不同"。这种从源头解决问题的思路，在工程上更优雅，在实践中也更可靠。

对于AI Agent领域，这意味着Agent浏览网页的能力将不再受限于Bot检测。未来，AI Agent可能像人类一样自由地浏览互联网，获取所需信息。

本文首发于「xAI智工场」公众号，专注AI应用落地和技术解读。关注获取更多前沿技术解析。