CloakBrowser 是一个在 C++ 源码层打了 58 处指纹补丁的隐身 Chromium,作为 Playwright/Puppeteer 的 drop-in 替代(Python + JS):不是 JS 注入也不是改配置,而是真实编译出指纹被修改的 Chromium 二进制,反爬/bot 检测系统把它当正常浏览器,配 humanize=True 模拟人类鼠标/键盘/滚动,号称 reCAPTCHA v3 拿 0.9 人类级分、过 Cloudflare Turnstile/FingerprintJS,30+ 检测站全过。
来源:README 首段 + Features + pyproject 查看 GitHub 仓库 →web 自动化/爬虫长期被 bot 检测(Cloudflare、reCAPTCHA、FingerprintJS)卡住,常见的 stealth 方案靠 JS 注入或改 CDP,容易被检测到「不一致」。CloakBrowser 的差异化是把指纹修改下沉到 Chromium 的 C++ 源码——58 处补丁覆盖 canvas/WebGL/audio/fonts/GPU/screen/WebRTC/网络时序/自动化信号/CDP 输入行为,编译出一个「就是正常浏览器」的二进制,反爬系统打分时无破绽。再叠加 humanize 的人类行为模拟、代理 + 时区/locale/WebRTC IP 一致性伪装、以及自托管的 Browser Profile Manager(Multilogin/GoLogin/AdsPower 的开源替代)。一行改 import 即从 Playwright 迁过来。18K★ 反映「绕过 bot 检测」需求的庞大——但这也意味着它处在 web 自动化与反爬对抗、以及各站点 ToS 合规的灰色地带。
来源:README Why CloakBrowser / How It Works / Test Results在 Chromium C++ 源码层修改指纹(而非 JS 注入或改配置),覆盖 canvas、WebGL、audio、fonts、GPU、screen、WebRTC、network timing、automation signals、CDP input behavior 等 58 处。因为是源码级,反爬系统看到的是一个内部一致的「真实浏览器」,没有 JS hook 那种可被检测的不一致。
来源:README Features(58 source-level C++ patches)/ How It Works一行改 import 即从 Playwright 迁移:把 sync_playwright().start() 换成 CloakBrowser 的 launch,其余代码不变。支持 Python(sync + launch_async)和 JavaScript(playwright-core/puppeteer),launch/launch_async/launch_context API 与 Playwright 对齐。首次运行自动下载隐身 Chromium 二进制(~200MB,本地缓存)。
来源:README Install / API / Migrating from Playwrighthumanize=True 一个 flag 启用人类化鼠标曲线、键盘时序、滚动模式,通过行为检测;可调更慢更刻意的移动。配合源码级指纹,覆盖「指纹 + 行为」两层检测。reCAPTCHA v3 拿 0.9 人类级分(服务端验证)。
来源:README Features(humanize)/ API(humanize 参数)支持 HTTP/SOCKS5 代理(含 bypass、独立 auth 字段);时区/locale 通过二进制 flag 设置(非可检测的 CDP emulation);可按代理出口 IP 自动检测时区/locale(cloakbrowser[geoip])并自动注入 --fingerprint-webrtc-ip 防 WebRTC IP 泄露;也支持显式 WebRTC IP。让网络层与指纹层一致,避免「代理在美国但时区在中国」类破绽。
来源:README API(proxy / timezone / WebRTC IP)自托管的 Multilogin/GoLogin/AdsPower 替代:创建带唯一指纹、代理、持久 session 的浏览器 profile,并经 noVNC 在浏览器里启动和交互。适合多账号/多身份隔离管理。
来源:README 'Browser Profile Manager'后台检查更新,始终跟最新 stealth 构建(当前 Chromium 146.0.7680.177.5);提供 Docker 镜像(cloakhq/cloakbrowser,含 cloaktest 自检)、flake.nix;tests/ 22 文件 + examples/ 19 文件;针对 30+ 检测站测试(README 称 30/30 通过,附 proof)。
来源:README Latest / Install(Docker)/ Test Results + treeCloakBrowser 的核心资产不在仓库 Python/JS 代码,而在一个预编译的、C++ 源码级打了 58 处指纹补丁的 Chromium 二进制(首次运行下载 ~200MB,BINARY-LICENSE.md 单独管该二进制许可)。仓库里 cloakbrowser/(18 文件,Python 包)和 js/(44 文件,JS 包)是 drop-in 的 Playwright/Puppeteer 包装层——提供与 Playwright 对齐的 launch/launch_async/launch_context API,把代理、时区/locale flag、WebRTC IP、humanize 等参数翻译成启动隐身二进制的命令行 flag(强调用二进制 flag 而非可检测的 CDP emulation)。Browser Profile Manager 在此之上做多 profile 管理 + noVNC 交互。数据流:用户用类 Playwright API → 包装层组装 flag 启动隐身 Chromium → 浏览器以源码级一致的指纹运行 → humanize 注入人类行为 → 通过反爬检测。设计判断:把指纹伪装下沉到 C++ 源码而非 JS 注入,是这个工具相对其它 stealth 方案的核心技术优势——消除了 JS hook 的可检测不一致;自动更新跟 Chromium 版本、网络/时区/WebRTC 一致性伪装也体现了对「检测靠的是内部矛盾」的深刻理解。但必须客观指出:这套能力本质是在与 bot 检测系统对抗、绕过 Cloudflare/reCAPTCHA,处于 web 自动化合规与各站点 ToS 的灰色地带,技术中立但用途有明确滥用面(欺诈、刷量、违反 ToS 的爬取)。
来源:tree(cloakbrowser/js)+ README How It Works / BINARY-LICENSE中心为项目本体,内环 = 核心功能模块,外环 = 关键技术依赖;按 deep.json 中的 core_features 与 tech_stack.key_deps 自动生成
预编译隐身 Chromium 二进制(58 处 C++ 源码补丁,~20…playwright ≥1.40humanizecloakbrowser[geoip]noVNC1. web 自动化/测试在反爬站点上跑通:把现有 Playwright/Puppeteer 脚本一行改成 CloakBrowser,绕过 Cloudflare/FingerprintJS 等检测继续自动化;2. 数据采集:对有 bot 检测的站点做爬取(需自行评估目标站点 ToS 与法律合规);3. 多账号/多身份管理:用 Browser Profile Manager 做带唯一指纹和独立代理的 profile 隔离(自托管替代 Multilogin/GoLogin);4. AI agent 浏览器操作:给需要操作真实网站的 agent 一个不被识别为 bot 的浏览器后端;5. 反爬研究:测试自己网站的 bot 检测对源码级 stealth 的抵抗力。注意:绕过 bot 检测、captcha 涉及各站点 ToS 与法律边界,用途合规性自负。
来源:README Why / API / Profile Manager隐身二进制按 Chromium 版本打 tag:最新 chromium-v146.0.7680.177.5(2026-05-21),前序 .4 (2026-04-28)、.3 (2026-04-16),紧跟 Chromium 上游版本。Python 包 v0.3.30。仓库 2026-02-22 创建、pushed 到 2026-05-21,自动更新机制让二进制持续跟最新 stealth 构建。
来源:GitHub Releases API(chromium-v146.x tags)+ README Latest如果你做 web 自动化/采集被 bot 检测卡住,CloakBrowser 在技术上是同类里做得最硬的:指纹下沉到 Chromium C++ 源码(58 补丁)而非 JS 注入、Playwright drop-in 一行迁移、覆盖指纹+行为+网络三层。但务必清楚它的性质——核心能力是绕过 Cloudflare/reCAPTCHA/FingerprintJS,处于各站点 ToS 与反爬法律的灰色地带,存在明确滥用面。务实判断:1) 用于自有站点测试、合规授权的自动化是相对中性的用途;用于违反目标站点 ToS 的爬取/刷量/欺诈则风险自负,先评估法律与合规边界;2) 这是持续军备竞赛,「30/30 通过」是某时点结果、不保证长期有效,依赖自动更新跟检测方迭代;3) 你运行的是别人编译的 ~200MB Chromium 二进制(BINARY-LICENSE 单独),需信任来源、注意自动更新会替换二进制;4) 对你的目标站点是否有效要自测,检测站结果不代表所有站;5) 高强度采集仍需优质代理,工具不含代理、成本另算;6) 资源占用高于 HTTP 爬虫,能用 HTTP 请求解决的别上完整浏览器。
来源:综合分析CloakBrowser 是一个在 C++ 源码层打了 58 处指纹补丁的隐身 Chromium,作为 Playwright/Puppeteer 的 drop-in 替代(Python + JS):不是 JS 注入也不是改配置,而是真实编译出指纹被修改的 Chromium 二进制,反爬/bot 检测系统把它当正常浏览器,配 humanize=True 模拟人类鼠标/键盘/滚动,号称 reCAPTCHA v3 拿 0.9 人类级分、过…
CloakBrowser 的核心功能包括:58 处 C++ 源码级指纹补丁、Playwright/Puppeteer drop-in(Python + JS)、humanize 人类行为模拟、代理 + 时区/locale/WebRTC 一致性伪装、Browser Profile Manager(自托管 antidetect)。
web 自动化/爬虫长期被 bot 检测(Cloudflare、reCAPTCHA、FingerprintJS)卡住,常见的 stealth 方案靠 JS 注入或改 CDP,容易被检测到「不一致」。
1. web 自动化/测试在反爬站点上跑通:把现有 Playwright/Puppeteer 脚本一行改成 CloakBrowser,绕过 Cloudflare/FingerprintJS 等检测继续自动化;2. 数据采集:对有 bot 检测的站点做爬取(需自行评估目标站点 ToS 与法律合规);3.