stealthy-auto-browse

核心功能与用法

stealthy-auto-browse 是一款专为绕过现代反爬虫系统设计的浏览器自动化工具，核心基于定制版Firefox（Camoufox），彻底消除Chrome DevTools Protocol（CDP）暴露的检测特征。与Playwright/Selenium等常规方案不同，它采用PyAutoGUI实现操作系统级别的鼠标移动、点击和键盘输入，从底层模拟真实用户行为，使目标网站无法通过JS检测识别自动化特征。

显著优点

极致隐身能力：通过移除CDP信号、使用真实OS输入事件、持久化浏览器指纹三重机制，可稳定通过CreepJS、BrowserScan、Pixelscan等专业检测工具，并成功绕过Cloudflare、DataDome、PerimeterX、Akamai等主流防护系统。

双模式输入系统：提供"System Input"（系统级，完全不可检测）和"Playwright Input"（DOM事件级，便捷但可检测）两套交互体系，用户可根据目标站点的防护强度灵活选择。

完整生态支持：除HTTP API外，原生支持MCP协议、YAML脚本模式、多实例集群部署（HAProxy+Redis）、页面加载器（URL触发自动化）等高级功能，满足从简单脚本到大规模生产部署的全场景需求。

会话持久化：Cookie通过Redis实时同步，实现"登录一次，全集群可用"；浏览器指纹持久化存储，避免频繁更换身份触发风控。

潜在局限与风险

性能开销：OS级输入需计算贝塞尔曲线轨迹、模拟随机延迟，操作速度显著慢于原生Playwright；Docker容器+虚拟显示层带来额外资源消耗。

部署复杂度：相比单一二进制工具，需维护Docker环境、可选的HAProxy/Redis集群，学习曲线陡峭。

法律与合规风险：该工具的设计目标明确指向绕过网站防护措施，在TOS严格禁止爬虫的平台（如LinkedIn、Instagram等）使用可能导致法律纠纷或账号封禁。

检测对抗的持续性：反爬系统持续演进，无法保证长期100%通过率；过度依赖单一工具可能形成技术债务。

适合人群

• 数据采集工程师：需从强防护站点（电商价格监控、航班查询、金融数据等）稳定获取数据
• 安全研究员：测试目标系统的bot检测能力边界
• 自动化测试团队：验证应用在高仿真用户行为下的表现

常规风险提醒

| 风险类别 | 说明 |

|---------|------|

| 账号封禁 | 即使技术层面隐身，异常行为模式仍可能触发平台风控 |

| 法律合规 | 违反目标网站服务条款可能导致民事索赔 |

| 数据安全 | 集群模式下的Redis需妥善配置，避免Cookie泄露 |

| 供应链风险 | 依赖第三方Docker镜像，需审查`psyb0t/docker-stealthy-auto-browse`来源可信性 |

使用建议

优先评估目标站点是否真的需要如此高强度的隐身方案——对于无防护或弱防护站点，curl/WebFetch效率更高。仅在标准方案返回403/CAPTCHA时启用本工具，并始终配合合理的请求频率和IP轮换策略。

核心用法

stealthy-auto-browse 是一款面向高防护站点的浏览器自动化解决方案，核心架构基于 Camoufox（定制版 Firefox）+ PyAutoGUI OS级输入模拟。用户通过 HTTP API 或 MCP 协议与容器化服务交互，执行页面导航、元素交互、截图、Cookie 管理等操作。

两种输入模式

• System Input（推荐）：使用 PyAutoGUI 生成真实操作系统级鼠标/键盘事件，浏览器无法检测自动化痕迹，可绕过 DataDome、PerimeterX、Akamai 等高级防护
• Playwright Input：标准 DOM 事件，速度快但可被检测，适用于无防护站点

典型工作流

1. goto 加载目标页面 → 2. get_text/get_interactive_elements 获取页面信息 → 3. system_click/system_type 模拟人工交互 → 4. wait_for_element 等待结果 → 5. 数据提取或截图

显著优点

| 特性 | 说明 |

|------|------|

| 零CDP暴露 | 禁用 Chrome DevTools Protocol 特征，消除常见检测向量 |

| OS级输入 | PyAutoGUI 模拟真实硬件事件，行为指纹与人工操作一致 |

| 持久指纹 | 支持自定义或固定的浏览器指纹配置 |

| 多模式部署 | 单机模式（请求队列）/ 集群模式（HAProxy + Redis 会话同步） |

| MCP原生支持 | 内置 Model Context Protocol 服务端，AI代理可直接调用 |

| 脚本化能力 | YAML 格式的多步脚本，支持环境变量和错误处理 |

潜在局限

• 复杂度过高：相比 curl 或标准 Playwright，配置和调试成本显著增加
• Docker依赖：必须运行外部容器，资源占用较高（内存建议 2GB+）
• 坐标敏感：system_click 依赖绝对坐标，分辨率变化需重新 calibrate
• 速度权衡：OS级输入比 DOM 操作慢 5-10 倍，大规模抓取效率受限
• 维护风险：核心镜像由个人开发者（psyb0t）维护，非企业级支持

适合人群

• 需要绕过 Cloudflare / CAPTCHA 的数据采集工程师
• 进行竞品监控、价格追踪的自动化开发者
• 需要持久登录会话的 Web 测试场景
• 对检测规避有强需求的安全研究者

常规风险

| 风险类别 | 详情 |

|----------|------|

| 合规风险 | 自动化访问搜索引擎、电商站点可能违反服务条款 |

| 供应链风险 | 依赖第三方 Docker 镜像，建议审查 Dockerfile 后使用 |

| 网络暴露 | 默认 8080 端口需配合 `AUTH_TOKEN` 和防火墙限制访问 |

| 资源消耗 | 每个浏览器实例约 500MB-1GB 内存，集群部署需规划容量 |