stealthy-auto-browse

🕵️ 隐形浏览器自动化 · 穿透顶级反爬

browser-automation榜 #10

基于 Camoufox 的隐形浏览器自动化,通过 OS 级输入和零 CDP 暴露绕过 Cloudflare、DataDome 等高级反爬系统。

收藏
11.3k
安装
3k
版本
1.6.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

stealthy-auto-browse 是一款面向高强度反爬场景的浏览器自动化工具,基于定制版 Firefox(Camoufox)构建,核心设计理念是消除一切可被检测的自动化痕迹

两种操作模式

1. System Input(隐形模式):通过 PyAutoGUI 发送真实的操作系统级鼠标/键盘事件,浏览器层面完全无法感知自动化痕迹。包含 system_click(贝塞尔曲线移动+点击)、system_type(随机延迟字符输入)、mouse_movesend_keyscroll 等。

2. Playwright Input(便捷模式):使用 Playwright 的 DOM 事件,支持 CSS/XPath 选择器,速度快但可被检测。适用于无反爬保护的站点。

典型工作流

  • goto 加载页面 → get_text 读取内容 → get_interactive_elements 获取元素坐标 → system_click/system_type 交互 → wait_for_element/wait_for_text 等待结果 → get_text 验证

运行模式

  • HTTP API 模式:Docker 容器暴露 8080 端口,通过 JSON POST 调用
  • Script 模式:通过 stdin 传入 YAML 脚本,stdout 返回 JSON 结果,容器即运行即销毁
  • Page Loaders:URL 匹配触发的自动化模板,支持复用

显著优点

  • 顶级反爬通过率:明确声称通过 CreepJS、BrowserScan、Pixelscan、Cloudflare、DataDome、PerimeterX、Akamai
  • 零 CDP 暴露:完全规避 Chrome DevTools Protocol 特征检测
  • 真实人类行为:OS 级输入模拟人类鼠标轨迹和打字节奏
  • 指纹持久化:支持保持登录态不被封号
  • 双模式灵活:隐形模式用于对抗检测,便捷模式用于快速开发
  • 完整浏览器功能:Cookies、Storage、Tabs、Dialogs、Network/Console 日志、截图

潜在缺点与局限性

  • 速度代价:System Input 比 Playwright 慢,人类化滚动和点击需额外时间
  • 坐标依赖:隐形模式需先获取元素坐标,无法直接用选择器操作
  • Docker 依赖:必须运行容器,资源占用高于纯 HTTP 客户端
  • 维护风险:Camoufox 为第三方定制 Firefox,版本跟进和安全更新依赖上游
  • 法律灰色地带:明确用于绕过反爬系统,可能违反目标网站 ToS

适合人群

  • 需要稳定爬取 Cloudflare/DataDome 保护站点的开发者
  • 自动化测试工程师处理高强度反爬场景
  • 需要保持长期登录会话的自动化任务
  • 标准 curl/WebFetch 已被 403/CAPTCHA 拦截的场景

常规风险

  • 指纹冲突:时区与 IP 地理位置不匹配会被检测,需手动对齐
  • 坐标漂移:全屏切换后需调用 calibrate 重新校准
  • 对话框处理:默认自动接受,关键场景需前置 handle_dialog
  • 资源泄漏:需显式 close 或依赖容器销毁,长期运行注意内存
  • 合规风险:用于绕过明确禁止自动化的服务可能触发法律追责

安全解读

核心用法

stealthy-auto-browse 是一款面向高对抗场景的浏览器自动化工具,通过 Docker 容器封装 Camoufox(定制版 Firefox)和 PyAutoGUI,实现零 CDP 暴露、操作系统级输入模拟,可绕过 CreepJS、BrowserScan、Pixelscan、Cloudflare、DataDome 等主流反爬检测。

两种输入模式:

  • System Input(隐蔽模式):使用 PyAutoGUI 生成真实 OS 级鼠标/键盘事件,浏览器无法检测自动化痕迹。核心动作包括 system_click(贝塞尔曲线移动+点击)、system_type(随机延迟逐字输入)、send_keyscroll
  • Playwright Input(便捷模式):基于 DOM 事件,支持 CSS/XPath 选择器,速度快但可被检测

典型工作流goto 加载 → get_text 读取 → get_interactive_elements 获取元素坐标 → system_click/system_type 交互 → wait_for_element 等待 → 验证结果。支持脚本模式(YAML 管道)、Page Loaders(URL 触发自动化)、截图、网络/控制台日志捕获等完整功能集。

显著优点

1. 检测绕过能力强:零 CDP 信号+真实硬件输入+持久指纹,通过业界最严格的 bot 检测
2. 双模式灵活切换:对抗检测用 System Input,快速开发用 Playwright Input

3. 完整 API 覆盖:导航、表单、等待条件、标签页、对话框、Cookie/Storage、下载上传、网络日志等

4. 脚本化支持:YAML 脚本 + 环境变量注入,适合 CI/CD 和批量任务

5. 轻量部署:纯 Docker 方案,HTTP API 易集成

潜在缺点与局限性

1. 外部依赖不可控:所有功能依赖个人维护的 Docker 镜像 psyb0t/stealthy-auto-browse,镜像内容未经验证
2. 维护者声誉风险:开发者 ID "psyb0t" 与 2009 年著名 Psyb0t 僵尸网络同名,虽可能是巧合但需警惕

3. System Input 坐标敏感:必须先用 get_interactive_elements 获取精确坐标,窗口大小/分辨率变化会导致偏移

4. 性能开销:OS 级输入模拟比 DOM 操作慢,人机化滚动等动作增加延迟

5. 非 headless:依赖图形环境,资源占用高于纯 headless 方案

适合人群

  • 数据采集团队:需要稳定采集受 Cloudflare/DataDome 保护的公开数据
  • 自动化测试工程师:验证反爬机制下的用户体验
  • 安全研究员:测试 bot 检测系统的绕过能力
  • 个人开发者:学习浏览器指纹和反检测技术(需自行评估镜像风险)

常规风险

  • 供应链攻击:Docker 镜像可能被植入恶意代码,建议固定版本标签、审查 Dockerfile、启用 Docker Content Trust
  • 账号封禁:即使技术层面绕过检测,行为模式异常仍可能导致平台封号
  • 法律合规:绕过反爬机制可能违反网站 ToS,需确保数据采集合规
  • 隐私泄露:容器内浏览器访问敏感站点时,流量经过不可控镜像环境

建议:在隔离网络环境首次运行,监控容器出站连接,优先考虑官方 Playwright/Puppeteer 镜像作为替代方案。

stealthy-auto-browse 内容

references文件夹
手动下载zip · 5.9 kB
setup.mdtext/markdown
请选择文件