stealthy-auto-browse

核心定位

stealthy-auto-browse 是一款面向高级反爬对抗场景设计的浏览器自动化技能，采用 Camoufox（Firefox 定制分支）作为浏览器引擎，彻底规避 Chrome DevTools Protocol 暴露的检测风险。其核心创新在于零 CDP 信号 + OS 级输入模拟：通过 PyAutoGUI 生成真实的操作系统级鼠标/键盘事件，使浏览器自身无法感知自动化痕迹，从而穿透 CreepJS、BrowserScan、Pixelscan 及 Cloudflare 等企业级防护体系。

显著优点

1. 对抗能力业界领先

• 完全消除 CDP 协议暴露（Firefox 基础架构无 CDP）
• OS 级输入事件无法被 JavaScript 行为分析检测
• 通过主流指纹扫描器测试（CreepJS、BrowserScan、Pixelscan）
• 支持持久化指纹与用户配置（mount /userdata）

2. 双模式操作灵活

• System Input（隐形模式）：system_click、system_type、send_key 等，模拟真实人类交互轨迹（贝塞尔曲线鼠标移动、抖动延迟、随机化打字间隔）
• Playwright Input（快速模式）：标准 DOM 操作，适合非对抗场景

3. 工程化功能完备

• Page Loader 机制：URL 触发自动化脚本，类似 Greasemonkey 服务端化
• Script Mode：YAML 驱动的一次性执行流程，无需 HTTP 服务
• 内置隐私扩展：uBlock Origin、LocalCDN、ClearURLs、Consent-O-Matic
• 网络日志捕获、多 Tab 管理、文件上传下载、对话框处理

4. 部署与集成友好

• 纯 Docker 容器化，单端口 HTTP API
• 内置 noVNC 实时可视化调试（5900 端口）
• 支持代理注入、时区匹配、自定义分辨率

潜在局限与风险

1. 性能与资源开销

• 需要完整 Xvfb 虚拟显示环境，内存占用显著高于 headless 模式
• 人类化模拟（鼠标轨迹、打字延迟）主动牺牲执行速度
• Docker 容器启动时间数秒级，不适合高频短时任务

2. 技术复杂度曲线陡峭

• 坐标系管理：viewport 坐标与 screen 坐标的偏移校准（calibrate、window_offset）
• 必须预先调用 get_interactive_elements 获取精确坐标，无法直接复用 CSS Selector
• 全屏/窗口状态切换后需重新校准，增加状态管理负担

3. 维护与生态风险

• 依赖 Camoufox 单一上游 fork，更新频率与 Firefox 主线同步存在滞后风险
• 开源项目（psyb0t/docker-stealthy-auto-browse）维护者为个人开发者，长期可持续性存疑
• 无官方商业支持，企业级 SLA 缺失

4. 合规与法律边界模糊

• 明确设计用于"actively fighting automation"站点的突破，可能触发服务条款违约
• 持久化指纹技术可绕过平台账户风控，存在滥用风险

适用人群

| 场景 | 推荐度 |

|------|--------|

| 数据采集工程师（反爬对抗场景） | ⭐⭐⭐⭐⭐ |

| 安全研究员/渗透测试人员 | ⭐⭐⭐⭐⭐ |

| 需要登录态保持的长期监控任务 | ⭐⭐⭐⭐⭐ |

| 简单静态页面爬取 | ⭐☆☆☆☆（过度设计）|

| 高频低延迟 API 测试 | ⭐☆☆☆☆（性能不匹配）|

| 合规敏感型企业生产环境 | ⭐⭐☆☆☆（需法律评估）|

常规风险提示

• IP/时区一致性：必须将容器 TZ 与代理 IP 地理位置匹配，否则成为显著检测特征
• 指纹一致性：频繁更换指纹比固定指纹更易触发风控，建议持久化 profile 卷
• 行为节奏控制：即使使用隐形模式，过于机械的执行间隔仍需 sleep 或随机延迟模拟
• 资源泄漏：未关闭的 Tab、未清理的下载文件在长期使用中需监控
• 升级兼容性：Camoufox 版本升级可能导致指纹特征变化，需重新验证 stealth 效果

核心功能与用法

stealthy-auto-browse 是一款专为对抗现代bot检测系统设计的浏览器自动化方案。它采用Camoufox（Firefox定制分支）作为核心浏览器，完全规避了Chrome DevTools Protocol（CDP）暴露的检测面；同时通过PyAutoGUI在操作系统层面模拟鼠标和键盘输入，使得浏览器本身无法区分自动化操作与真实用户行为。

核心使用流程：启动Docker容器暴露8080端口API → 设置STEALTHY_AUTO_BROWSE_URL环境变量 → 发送JSON命令至HTTP端点。关键动作包括：goto导航、get_interactive_elements获取可交互元素坐标、system_click/system_type执行OS级点击和输入、get_text提取页面内容。

两种输入模式：

• System Input（隐匿模式）：system_click、system_type、mouse_move、send_key、scroll等，通过PyAutoGUI生成真实OS事件，完全无法被JavaScript检测
• Playwright Input（便捷模式）：click、fill、type等，直接操作DOM，速度快但存在被行为分析识别的风险

高级功能：Page Loaders（URL触发自动化脚本）、Script Mode（YAML编排无人值守执行）、网络日志捕获、多标签管理、Cookie/Storage操作、文件上传下载等。

显著优点

1. 零CDP暴露：采用Firefox而非Chromium，彻底消除DevTools Protocol这一最常被检测的自动化特征
2. OS级输入不可检测：鼠标移动带有人类化的贝塞尔曲线和随机抖动，键盘输入模拟真实击键间隔，浏览器层面无法识别为自动化
3. 持久化指纹：通过/userdata挂载实现Cookie、LocalStorage、浏览器指纹跨会话保持
4. 绕过主流防护：明确针对并测试通过CreepJS、BrowserScan、Pixelscan及Cloudflare挑战页面
5. 灵活部署：支持HTTP API交互模式、YAML脚本批量执行模式，以及实时VNC观测
6. 预装隐私扩展：内置uBlock Origin、LocalCDN、ClearURLs、Consent-O-Matic，减少追踪面

潜在局限与缺点

1. Docker依赖：必须运行容器，资源占用高于轻量级HTTP请求工具
2. 坐标运算开销：隐匿模式需要先从get_interactive_elements获取像素坐标，开发流程比CSS选择器更繁琐
3. 速度权衡：system_type逐字符输入带随机延迟，显著慢于fill的直接赋值
4. 单点故障：功能完全依赖第三方维护的Docker镜像，更新和安全补丁不受用户控制
5. 容器逃逸风险：运行不受信任镜像存在潜在的容器安全边界突破可能

适用人群

• 数据抓取工程师：需要绕过Cloudflare、DataDome、PerimeterX、Akamai等企业级防护
• 账户自动化开发者：需要创建不易被封禁的长期登录会话
• 安全研究员：测试网站bot检测机制，验证指纹隐匿方案有效性
• 竞品情报分析：获取反爬虫严格保护的公开数据

不适用场景：简单静态页面抓取（curl即可）、无防护站点的快速自动化（标准Playwright更快）、仅需HTML源码无需渲染的情况。

常规风险

| 风险类型 | 具体描述 | 缓解建议 |

|---------|---------|---------|

| 合规风险 | 绕过bot检测可能违反目标网站ToS | 确认获得授权，遵守robots.txt，符合GDPR等法规 |

| 镜像安全风险 | Docker镜像由个人开发者维护，内容不可完全审计 | 运行前审查Dockerfile，使用只读文件系统，限制资源和网络 |

| 账户封禁 | 即使技术隐匿，行为模式异常仍可能触发风控 | 模拟真实浏览节奏，添加合理延迟，分散请求时间 |

| 时区/IP不匹配 | 系统时区与代理IP地理位置不一致是常见检测信号 | 通过`-e TZ=...`匹配代理所在时区 |

| 法律责任 | 用于未经授权的账户访问或数据采集可能涉及违法 | 仅用于合法授权场景，避免绕过明确安全机制 |