核心功能
stealthy-auto-browse 是一款基于 Docker 的隐蔽浏览器自动化工具,专为对抗现代反机器人检测系统而构建。它整合了 Camoufox(定制的 Firefox 内核,无 CDP 信号暴露)与 PyAutoGUI 操作系统级输入模拟,能够生成难以被指纹识别的真实用户行为。
显著优点
1. 高级反检测能力:Camoufox 消除了传统 headless 浏览器常见的 CDP 信号,配合 OS 级输入(非 DOM 合成事件),可有效通过 CreepJS、BrowserScan、Pixelscan、Cloudflare 等检测库的验证。
2. 双模式输入系统:提供 Playwright DOM 事件(快速、标准)与 System 输入(真实鼠标轨迹、键盘延迟)两种模式,可根据测试需求灵活切换。
3. 完善的自动化 API:支持 HTTP API、MCP Server、YAML 脚本模式三种调用方式,涵盖导航、截图、Cookie 管理、存储操作、网络日志、多标签页等完整功能集。
4. 集群化部署支持:内置 HAProxy 负载均衡、Redis Cookie 同步、粘性会话机制,适合大规模并发测试场景。
5. 安全设计意识:强制要求书面授权、内置授权使用声明、推荐本地绑定与 Token 认证,体现防御性安全研究工具应有的责任边界。
潜在局限与风险
1. 法律合规高度敏感:工具明确设计用于绕过检测, misuse 可能构成未经授权的计算机访问(CFAA 等法规),用户必须严格确保仅用于自有系统或书面授权目标。
2. 技术复杂度较高:System 输入模式需要 calibrate 坐标映射,集群模式限制为仅 run_script 原子操作,学习曲线陡峭。
3. 资源开销:Docker 容器 + 完整浏览器 + VNC 桌面环境,相比轻量级 HTTP 客户端资源消耗显著更高。
4. 维护风险:依赖 Camoufox 等第三方定制浏览器,版本更新可能引入兼容性问题;镜像需通过 digest 锁定以保证可审计性。
适合人群
- 安全工程师:验证自有反欺诈/反机器人系统的检测效果
- QA 团队:对启用了高级 bot 防护的生产环境进行授权回归测试
- 红队/渗透测试人员:在明确授权范围内测试人类行为模拟边界
- 浏览器指纹研究者:在受控环境中分析检测库的行为特征
常规风险
- Session 持久化风险:profile 卷包含有效会话 Cookie,需加密备份或测试后立即销毁
- 坐标漂移:分辨率变更、全屏切换后必须重新
calibrate - Token 泄露:query string 传递 auth_token 会进入代理日志,生产环境应优先使用 Header
- 时区指纹:未匹配 IP 地理位置的时区设置会导致一致性检测失败
- 速率限制:即使隐蔽性高,高频请求仍可能触发服务端限流或 IP 封禁