skills/mayuqi-crypto/Stealth Browser

Stealth Browser

🕵️ 绕过安全防护的浏览器自动化工具

专为绕过网站安全机制设计,存在数据外泄与法律风险,不建议使用

收藏
35.8k
安装
12.9k
版本
1.0.0
CLS 安全性认证2026-05-07
点击查看完整报告 >

使用说明

概述

Stealth Browser是一款声称提供"隐形浏览器自动化"功能的工具,宣称可绕过Cloudflare防护、自动解决CAPTCHA验证、规避反爬虫检测等。然而经安全认证分析,该Skill存在严重的功能与声明偏离问题。

核心功能与严重问题

该Skill的核心设计目标是故意绕过网站安全防护机制,包括:

  • Cloudflare JS Challenge/Turnstile绕过
  • 自动调用第三方服务解决reCAPTCHA/hCaptcha
  • 浏览器指纹欺骗与代理轮换隐藏身份
  • Cookie和登录凭证的持久化存储

这些功能远超正常浏览器自动化范畴,构成安全机制绕过工具

显著优点(技术性)

从技术实现角度,该Skill确实具备:

  • 多层反检测架构(puppeteer-extra-stealth、DrissionPage等)
  • 支持多种CAPTCHA解决服务集成
  • 会话持久化机制便于重复登录
  • 断点续传和任务状态管理

严重风险与局限性

1. 数据外泄风险(Critical)

自动将用户访问的网页URL、站点密钥发送至2captcha.com(俄罗斯)、anti-captcha.com、capsolver.com等第三方商业服务,存在敏感信息泄露和追踪风险。

2. 敏感信息明文存储(High)

API密钥、网站登录凭证、Cookies均以明文JSON存储于~/.clawdbot/secrets/~/.clawdbot/browser-sessions/,无任何加密保护。

3. 法律与合规风险

  • 违反目标网站服务条款
  • 可能触犯计算机欺诈相关法律
  • 未经明确同意分享用户数据,违反GDPR等数据保护法规

4. 来源不可信(T3级)

开发者"mayuqi"为未经验证的个人,无GitHub仓库、无可追溯的开源历史,无法验证代码安全性。

5. 功能-行为严重偏离

声明为"浏览器自动化",实际为专门的安全绕过工具,用户可能在不知情的情况下使用违法功能。

适合人群

不建议任何用户使用。仅在以下极端受限场景可能考虑(仍需法律审查):

  • 安全研究人员在授权环境下测试自身系统防护
  • 企业级爬虫在明确获得目标网站书面授权后使用

安全认证结论

  • 评分: 30/100(D级,危险级)
  • 安全等级: D
  • 来源可信度: T3(个人开发者/未经验证)
  • 核心风险: 数据外泄、安全机制绕过、敏感信息收集

强烈建议立即停止使用并删除该Skill,审查已存储的敏感数据,撤销相关API密钥,转向Playwright MCP等合规替代方案。

安全解读

技能概述

stealth-browser 是一项面向隐身浏览器自动化的技能,核心用途是让用户能够以极低的可检测性执行网页自动化任务。它内置多层反检测引擎(如 puppeteer-extra-plugin-stealth、浏览器指纹伪装等),能够绕过 Cloudflare 质询、hCaptcha 与 reCAPTCHA 等常见机器人检测机制,并支持通过 2Captcha、Anti-Captcha 等第三方验证码解决服务完成自动化人机验证。技能还提供了会话持久化功能,可以将成功登录后的 Cookies 和 localStorage 存储为 JSON 文件,实现“先手动登录一次,以后持续静默复用”的工作流程。

显著优点

  • 多层反检测架构:技能通过浏览器指纹混淆(WebGL/Canvas/Audio 伪装)、U-A 轮换、禁用自动化特征等方式,最大程度降低被检测为机器人的风险。
  • 灵活的登录与复用机制:用户可先使用 headed 模式手动登录目标网站并保存会话,后续在 headless 模式下直接加载会话,兼顾安全性与效率。
  • CLS-Certify 安全评级为 B 级,无恶意行为证据:安全性报告中明确指出,该技能的代码功能与声明完全一致,未发现提示词投毒、权限升级或隐蔽信息外传,具备良好的代码结构。

潜在缺点与局限性

  • 安全实践存在不足scripts/task_runner.py 中使用了 subprocess.run(cmd, shell=True),存在潜在的命令注入风险。同时,2Captcha API 端点以 HTTP 明文传输 API 密钥,可能被中间人窃听。
  • 来源可信度较低(T3):技能来自 clawdbot 生态系统,缺乏公开可验证的 GitHub 仓库、明确维护者归属及开源许可证声明,其长期维护和更新依赖于个人开发者,可靠性存疑。
  • 硬件与网络需求:技能要求本地安装 Chrome/Chromium、undetected-chromedriver、DrissionPage、puppeteer-extra 等组件,还可能涉及 Docker 容器运行,对本地资源和网络环境有一定要求。

适合的目标群体

  • 开发者和自动化工程师:适用于需要使用隐身浏览器抓取数据、自动化登录并维护会话的开发和技术人员,尤其是经常面对 Cloudflare 或验证码挑战的场景。
  • 个人用户:需要批量登录管理多个网站账号、自动签到或获取信息流的高级个人用户。

使用风险提示

  • 隐私风险:使用验证码解决服务时,目标网站的 URL 和 site key 会被发送至第三方(2Captcha、Anti-Captcha 等),可能泄露用户浏览行为。建议避免在内部敏感系统中使用此类功能。
  • 安全风险shell=True 的调用方式可能被恶意输入利用;HTTP 明文 API 通信存在密钥泄露风险。在生产环境使用前,建议手动修改代码以修复这些已知安全隐患。
  • 法律合规风险:技能未声明开源许可证,使用未授权代码进行商业用途可能引发版权纠纷。同时,绕过网站的反爬措施在个别司法管辖区内可能涉及法律灰色地带,使用者需自行评估合规性。
browser-automationanti-detectioncloudflare-bypasscaptcha-solvingdata-exfiltration-riskthird-party-apicredential-storaget3-sourceprivacy-risklegal-risk

Stealth Browser 内容

scripts文件夹
手动下载zip · 25.4 kB
cf_bypass.pytext/plain
请选择文件