CloakBrowser 是什么?

CloakBrowser 是一个在 C++ 源码层打了 58 处指纹补丁的隐身 Chromium,作为 Playwright/Puppeteer 的 drop-in 替代(Python + JS):不是 JS 注入也不是改配置,而是真实编译出指纹被修改的 Chromium 二进制,反爬/bot 检测系统把它当正常浏览器,配 humanize=True 模拟人类鼠标/键盘/滚动,号称 reCAPTCHA v3 拿 0.9 人类级分、过 Cloudflare Turnstile/FingerprintJS,30+ 检测站全过。

⭐ 27,867 Stars 🍴 2,228 Forks Python MIT 作者: CloakHQ 商业引流:低
来源:README 首段 + Features + pyproject 查看 GitHub 仓库 →

为什么值得关注

web 自动化/爬虫长期被 bot 检测(Cloudflare、reCAPTCHA、FingerprintJS)卡住,常见的 stealth 方案靠 JS 注入或改 CDP,容易被检测到「不一致」。CloakBrowser 的差异化是把指纹修改下沉到 Chromium 的 C++ 源码——58 处补丁覆盖 canvas/WebGL/audio/fonts/GPU/screen/WebRTC/网络时序/自动化信号/CDP 输入行为,编译出一个「就是正常浏览器」的二进制,反爬系统打分时无破绽。再叠加 humanize 的人类行为模拟、代理 + 时区/locale/WebRTC IP 一致性伪装、以及自托管的 Browser Profile Manager(Multilogin/GoLogin/AdsPower 的开源替代)。一行改 import 即从 Playwright 迁过来。18K★ 反映「绕过 bot 检测」需求的庞大——但这也意味着它处在 web 自动化与反爬对抗、以及各站点 ToS 合规的灰色地带。

来源:README Why CloakBrowser / How It Works / Test Results

核心功能

58 处 C++ 源码级指纹补丁

在 Chromium C++ 源码层修改指纹(而非 JS 注入或改配置),覆盖 canvas、WebGL、audio、fonts、GPU、screen、WebRTC、network timing、automation signals、CDP input behavior 等 58 处。因为是源码级,反爬系统看到的是一个内部一致的「真实浏览器」,没有 JS hook 那种可被检测的不一致。

来源:README Features(58 source-level C++ patches)/ How It Works
Playwright/Puppeteer drop-in(Python + JS)

一行改 import 即从 Playwright 迁移:把 sync_playwright().start() 换成 CloakBrowser 的 launch,其余代码不变。支持 Python(sync + launch_async)和 JavaScript(playwright-core/puppeteer),launch/launch_async/launch_context API 与 Playwright 对齐。首次运行自动下载隐身 Chromium 二进制(~200MB,本地缓存)。

来源:README Install / API / Migrating from Playwright
humanize 人类行为模拟

humanize=True 一个 flag 启用人类化鼠标曲线、键盘时序、滚动模式,通过行为检测;可调更慢更刻意的移动。配合源码级指纹,覆盖「指纹 + 行为」两层检测。reCAPTCHA v3 拿 0.9 人类级分(服务端验证)。

来源:README Features(humanize)/ API(humanize 参数)
代理 + 时区/locale/WebRTC 一致性伪装

支持 HTTP/SOCKS5 代理(含 bypass、独立 auth 字段);时区/locale 通过二进制 flag 设置(非可检测的 CDP emulation);可按代理出口 IP 自动检测时区/locale(cloakbrowser[geoip])并自动注入 --fingerprint-webrtc-ip 防 WebRTC IP 泄露;也支持显式 WebRTC IP。让网络层与指纹层一致,避免「代理在美国但时区在中国」类破绽。

来源:README API(proxy / timezone / WebRTC IP)
Browser Profile Manager(自托管 antidetect)

自托管的 Multilogin/GoLogin/AdsPower 替代:创建带唯一指纹、代理、持久 session 的浏览器 profile,并经 noVNC 在浏览器里启动和交互。适合多账号/多身份隔离管理。

来源:README 'Browser Profile Manager'
自动更新二进制 + Docker + 测试

后台检查更新,始终跟最新 stealth 构建(当前 Chromium 146.0.7680.177.5);提供 Docker 镜像(cloakhq/cloakbrowser,含 cloaktest 自检)、flake.nix;tests/ 22 文件 + examples/ 19 文件;针对 30+ 检测站测试(README 称 30/30 通过,附 proof)。

来源:README Latest / Install(Docker)/ Test Results + tree

技术架构

CloakBrowser 的核心资产不在仓库 Python/JS 代码,而在一个预编译的、C++ 源码级打了 58 处指纹补丁的 Chromium 二进制(首次运行下载 ~200MB,BINARY-LICENSE.md 单独管该二进制许可)。仓库里 cloakbrowser/(18 文件,Python 包)和 js/(44 文件,JS 包)是 drop-in 的 Playwright/Puppeteer 包装层——提供与 Playwright 对齐的 launch/launch_async/launch_context API,把代理、时区/locale flag、WebRTC IP、humanize 等参数翻译成启动隐身二进制的命令行 flag(强调用二进制 flag 而非可检测的 CDP emulation)。Browser Profile Manager 在此之上做多 profile 管理 + noVNC 交互。数据流:用户用类 Playwright API → 包装层组装 flag 启动隐身 Chromium → 浏览器以源码级一致的指纹运行 → humanize 注入人类行为 → 通过反爬检测。设计判断:把指纹伪装下沉到 C++ 源码而非 JS 注入,是这个工具相对其它 stealth 方案的核心技术优势——消除了 JS hook 的可检测不一致;自动更新跟 Chromium 版本、网络/时区/WebRTC 一致性伪装也体现了对「检测靠的是内部矛盾」的深刻理解。但必须客观指出:这套能力本质是在与 bot 检测系统对抗、绕过 Cloudflare/reCAPTCHA,处于 web 自动化合规与各站点 ToS 的灰色地带,技术中立但用途有明确滥用面(欺诈、刷量、违反 ToS 的爬取)。

来源:tree(cloakbrowser/js)+ README How It Works / BINARY-LICENSE

项目知识图谱

知识图谱:项目核心节点(中心)+ 核心功能(内环六边形)+ 关键技术依赖(外环 chip) 预编译隐身 Chromium 二进制(58 处 C++ 源码补丁,~200MB,自动下载)预编译隐身 Chro… playwright ≥1.40 — Python 侧依赖;playwright-core / puppeteer — JS 侧playwright ≥1… humanize — 人类行为模拟humanize cloakbrowser[geoip] — 按代理 IP 自动检测时区/localecloakbrowser[g… noVNC — Profile Manager 浏览器内交互noVNC 58 处 C++ 源码级指纹补丁58 处 C++ 源码级指纹… Playwright/Puppeteer drop-in(Python + JS)Playwright/Puppetee… humanize 人类行为模拟 代理 + 时区/locale/WebRTC 一致性伪装代理 + 时区/locale/W… Browser Profile Manager(自托管 antidetect)Browser Profile Man… 自动更新二进制 + Docker + 测试自动更新二进制 + Dock… CloakBrowser 项目本体 核心功能 关键依赖

中心为项目本体,内环 = 核心功能模块,外环 = 关键技术依赖;按 deep.json 中的 core_features 与 tech_stack.key_deps 自动生成

技术栈

语言C++(Chromium 源码补丁,核心)+ Python(包装层)+ JavaScript(JS 包装)框架Playwright/Puppeteer drop-in API(Python sync/async + JS)
预编译隐身 Chromium 二进制(58 处 C++ 源码补丁,~20…playwright ≥1.40humanizecloakbrowser[geoip]noVNC
pip install cloakbrowser(首次跑下载隐身 Chromium ~200MB 缓存本地);JS: npm install cloakbrowser;Docker(cloakhq/cloakbrowser,cloaktest 自检);flake.nix;自动更新跟最新 Chromium(v146);代码 MIT,二进制单独 BINARY-LICENSE;HTTP/SOCKS5 代理
来源:pyproject.toml + README Install + BINARY-LICENSE

快速上手

# Python(首次运行自动下载隐身 Chromium ~200MB) pip install cloakbrowser playwright # 从 Playwright 迁移:一行改 import # - from playwright.sync_api import sync_playwright # - pw = sync_playwright().start(); browser = pw.chromium.launch() # + from cloakbrowser import launch; browser = launch() # 常用参数 # launch(headless=False) # headed 模式 # launch(proxy="http://..." 或 socks5://...) # 代理 # launch(timezone=..., locale=...) # 时区/locale(二进制 flag) # launch(geoip=True) # 按代理出口 IP 自动检测 + 防 WebRTC 泄露 # launch(humanize=True) # 人类化鼠标/键盘/滚动 # JavaScript(Playwright) npm install cloakbrowser playwright-core # Docker 自检 docker run --rm cloakhq/cloakbrowser cloaktest # Browser Profile Manager:创建带唯一指纹/代理/持久 session 的 profile,noVNC 交互(见 README)
来源:README Install / API / Migrating 原文

使用场景

1. web 自动化/测试在反爬站点上跑通:把现有 Playwright/Puppeteer 脚本一行改成 CloakBrowser,绕过 Cloudflare/FingerprintJS 等检测继续自动化;2. 数据采集:对有 bot 检测的站点做爬取(需自行评估目标站点 ToS 与法律合规);3. 多账号/多身份管理:用 Browser Profile Manager 做带唯一指纹和独立代理的 profile 隔离(自托管替代 Multilogin/GoLogin);4. AI agent 浏览器操作:给需要操作真实网站的 agent 一个不被识别为 bot 的浏览器后端;5. 反爬研究:测试自己网站的 bot 检测对源码级 stealth 的抵抗力。注意:绕过 bot 检测、captcha 涉及各站点 ToS 与法律边界,用途合规性自负。

来源:README Why / API / Profile Manager

优势与局限

优势

  • 技术路线领先:指纹伪装下沉到 Chromium C++ 源码(58 处补丁)而非 JS 注入/改配置,消除了可被检测的不一致,反爬系统看到的是内部一致的真实浏览器
  • 迁移成本极低:Playwright/Puppeteer drop-in,一行改 import,Python(sync/async)+ JS 双语言,现有自动化脚本几乎零改动
  • 覆盖指纹 + 行为 + 网络三层:源码级指纹 + humanize 行为模拟 + 代理/时区/locale/WebRTC IP 一致性伪装,针对「检测靠内部矛盾」做了系统化对抗
  • 工程完整:自动更新跟最新 Chromium(v146)、Docker(带 cloaktest 自检)、flake.nix、tests + examples、Browser Profile Manager(自托管 antidetect),不只是脚本
  • 可验证的测试结果:针对 30+ 检测站测试并附 proof,reCAPTCHA v3 0.9 服务端验证分,比空喊「stealth」可信

局限

  • 合规 / 伦理风险(核心):本质是绕过 bot 检测、Cloudflare、reCAPTCHA,处于 web 自动化与各站点 ToS、反爬法律的灰色地带,存在被用于刷量、欺诈、违规爬取的明确滥用面,使用者需自行承担法律与 ToS 合规责任
  • 持续对抗、稳定性受牵制:与反爬系统是军备竞赛——检测方升级(新指纹维度、新行为模型)就可能让某些补丁失效,「30/30 通过」是某时间点对某些站点的结果,不保证持续有效,需跟随更新
  • 二进制信任 / 许可:核心是预编译的 ~200MB 隐身 Chromium 二进制(BINARY-LICENSE 单独管,与仓库 MIT 不同),用户运行的是别人编译的浏览器二进制,需信任其来源与安全性;自动更新也意味着二进制会被后台替换
  • 可测试性 / 代表性:测试结果针对特定 30+ 检测站,对你的目标站点是否同样有效需自测;检测站会变、站点的自定义反爬未必覆盖
  • 性能 / 资源:~200MB 二进制 + 完整 Chromium 进程 + humanize 行为模拟,资源占用高于轻量 HTTP 爬虫;多 profile/并发场景的资源与代理成本未量化
  • 依赖代理生态:高强度采集仍需大量优质代理(IP 一致性伪装只解决指纹层),代理质量与成本是实际使用的主要变量,工具本身不提供代理
来源:综合 README + pyproject + 反爬对抗常识(仅作风险说明)

最新版本

隐身二进制按 Chromium 版本打 tag:最新 chromium-v146.0.7680.177.5(2026-05-21),前序 .4 (2026-04-28)、.3 (2026-04-16),紧跟 Chromium 上游版本。Python 包 v0.3.30。仓库 2026-02-22 创建、pushed 到 2026-05-21,自动更新机制让二进制持续跟最新 stealth 构建。

来源:GitHub Releases API(chromium-v146.x tags)+ README Latest

总结评价

如果你做 web 自动化/采集被 bot 检测卡住,CloakBrowser 在技术上是同类里做得最硬的:指纹下沉到 Chromium C++ 源码(58 补丁)而非 JS 注入、Playwright drop-in 一行迁移、覆盖指纹+行为+网络三层。但务必清楚它的性质——核心能力是绕过 Cloudflare/reCAPTCHA/FingerprintJS,处于各站点 ToS 与反爬法律的灰色地带,存在明确滥用面。务实判断:1) 用于自有站点测试、合规授权的自动化是相对中性的用途;用于违反目标站点 ToS 的爬取/刷量/欺诈则风险自负,先评估法律与合规边界;2) 这是持续军备竞赛,「30/30 通过」是某时点结果、不保证长期有效,依赖自动更新跟检测方迭代;3) 你运行的是别人编译的 ~200MB Chromium 二进制(BINARY-LICENSE 单独),需信任来源、注意自动更新会替换二进制;4) 对你的目标站点是否有效要自测,检测站结果不代表所有站;5) 高强度采集仍需优质代理,工具不含代理、成本另算;6) 资源占用高于 HTTP 爬虫,能用 HTTP 请求解决的别上完整浏览器。

来源:综合分析

常见问题

CloakBrowser 是什么?

CloakBrowser 是一个在 C++ 源码层打了 58 处指纹补丁的隐身 Chromium,作为 Playwright/Puppeteer 的 drop-in 替代(Python + JS):不是 JS 注入也不是改配置,而是真实编译出指纹被修改的 Chromium 二进制,反爬/bot 检测系统把它当正常浏览器,配 humanize=True 模拟人类鼠标/键盘/滚动,号称 reCAPTCHA v3 拿 0.9 人类级分、过…

CloakBrowser 有哪些核心功能?

CloakBrowser 的核心功能包括:58 处 C++ 源码级指纹补丁、Playwright/Puppeteer drop-in(Python + JS)、humanize 人类行为模拟、代理 + 时区/locale/WebRTC 一致性伪装、Browser Profile Manager(自托管 antidetect)。

CloakBrowser 为什么最近很受关注?

web 自动化/爬虫长期被 bot 检测(Cloudflare、reCAPTCHA、FingerprintJS)卡住,常见的 stealth 方案靠 JS 注入或改 CDP,容易被检测到「不一致」。

CloakBrowser 适合哪些使用场景?

1. web 自动化/测试在反爬站点上跑通:把现有 Playwright/Puppeteer 脚本一行改成 CloakBrowser,绕过 Cloudflare/FingerprintJS 等检测继续自动化;2. 数据采集:对有 bot 检测的站点做爬取(需自行评估目标站点 ToS 与法律合规);3.

透明度声明
本页内容由 AI(大语言模型)基于以下公开材料自动生成:GitHub README、代码目录结构、依赖文件、Release 信息。 分析时间: 2026-05-22 11:11. 质量评分: 100/100.

数据来源:README、GitHub API、依赖文件