CloakBrowser — 源码级反检测 Chromium 浏览器

来源: https://github.com/CloakHQ/cloakbrowser
日期: 2026-06-13
状态: v0.3.31，Chromium 146，持续活跃开发

一句话版本

CloakBrowser 是一个被"魔改"过的 Chrome 浏览器——不是给 Chrome 装插件或改配置，而是直接改了 Chrome 的底层 C++ 代码（58 处修改），让所有反爬检测系统（Cloudflare Turnstile、reCAPTCHA、FingerprintJS 等）都认不出它是自动化工具，觉得它是一个真人用户。装好后 3 行代码就能用，完全免费开源。

核心内容

它解决了什么问题？

反爬行业一直在猫鼠游戏。传统的 stealth 工具（playwright-stealth、undetected-chromedriver）靠注入 JavaScript 或改 Chrome 启动参数来伪装，但反检测厂商已经能识别这些"表层伪装"。每次 Chrome 更新，这些工具就失效。

CloakBrowser 换个思路：直接改 Chromium 源码，在 C++ 层修改浏览器指纹，编译进二进制文件。反检测系统看到的是一个真的 Chrome 浏览器——因为它本来就是。

58 个 C++ 补丁覆盖了什么？

类别	覆盖内容
Canvas/WebGL	指纹随机化，不暴露真实硬件信息
Audio	音频上下文指纹伪装
GPU	GPU 信息与普通 Chrome 一致
Screen	屏幕分辨率、颜色深度等
WebRTC	IP 伪造，通过代理出口 IP 伪装 ICE candidates
Network timing	DNS/SSL 连接时间归零，去除代理信号
Automation signals	`navigator.webdriver` 改 false，CDP 检测屏蔽
Fonts	真实字体列表加载
Storage	StorageBuckets API 配额规范化，绕过隐身模式检测

核心功能

humanize=True: 一键开启类人鼠标轨迹（贝塞尔曲线）、键盘输入（逐字模拟）、滚动模式
geoip=True: 自动从代理 IP 获取时区和语言设置
Persistent profiles: launch_persistent_context() 保持 cookies/localStorage，绕过隐身检测
WebRTC IP spoofing: 自动伪造 WebRTC ICE candidates 为代理出口 IP
SOCKS5 原生支持: proxy="socks5://..." 直接可用
Widevine/DRM: 侧载 CDM 后可播放 Netflix 等 DRM 内容
Browser Profile Manager: 自托管的多指纹配置管理界面，替代 Multilogin/GoLogin

测试数据

检测服务	原生 Playwright	CloakBrowser
reCAPTCHA v3	0.1 (bot)	0.9 (human)
Cloudflare Turnstile	❌	✅ 自动通过
FingerprintJS	❌ 被检测	✅ 通过
BrowserScan	❌ 被检测	✅ NORMAL (4/4)
ShieldSquare	❌ 被拦截	✅ 通过
TLS 指纹	不匹配	✅ 与 Chrome 一致

第三方独立测试（Ian L. Paterson, May 2026）

这是一个很有价值的基准测试：7 款工具 × 31 个反爬目标 × 3 轮重复 = 651 个结论。

核心发现：

1. CloakBrowser 得分 26/31 OK，与 curl_cffi（纯 HTTP 库，6.4MB）打平。一个 130MB 的 Chromium 叉和一个纯 HTTP 库得分一样——这让人重新思考"源码级补丁"的实际收益。

2. nodriver 以 28/31 胜出——它的优势不是补丁，而是直接通过 CDP 驱动 Chrome，不用 Playwright。

3. macOS 构建停滞在 Chromium 145，2 个月没有更新。

4. CloakBrowser 的 Playwright API 绑定本身会引入可检测的自动化协议特征，这是补丁无法弥补的。

> 注意：这个基准测试的 CloakBrowser 版本是 Chromium 145（macOS arm64，v0.3.28），截至 v0.3.31（Chromium 146，58 patches）已有改进。但架构性局限（Playwright 协议指纹）依然存在。

竞品对比

特性	Playwright	playwright-stealth	undetected-chromedriver	Camoufox	CloakBrowser
reCAPTCHA v3	0.1	0.3-0.5	0.3-0.7	0.7-0.9	0.9
Cloudflare Turnstile	❌	偶过	偶过	✅	✅
补丁层级	无	JS 注入	配置补丁	C++ (Firefox)	C++ (Chromium)
Chrome 更新后稳定性	N/A	频繁失效	频繁失效	✅	✅
维护状态	✅	❌ 停滞	❌ 停滞	❌ 不稳定	✅ 活跃
Playwright API	原生	原生	❌ (Selenium)	❌	✅ 原生
价格	免费	免费	免费	免费	免费

商业模式

Python 和 JS 封装代码：MIT 开源
编译好的 Chromium 二进制：自定义许可（禁止撞库、批量注册、未授权自动化）
无订阅、无用量限制、免费
Browser Profile Manager：自托管，替代 Multilogin（$29-$199/月）和 GoLogin（$10/月起）

已知局限

1. Playwright 协议指纹：CloakBrowser 只是改了 Chromium 的指纹，但 Playwright 自身在 CDP 握手过程中的自动化特征会被部分检测系统识别。

2. macOS 支持滞后：macOS arm64 构建落后 Linux/Windows 约 2 个月

3. 不解决 CAPTCHA：防止 CAPTCHA 出现，但出现后需要第三方服务解决

4. 不内置代理：自带代理可选，但代理 IP 质量靠用户

5. 法律风险：绕开 ToS 保护的自动访问可能违反 CFAA 等法规

6. 二进制体积 ~200MB：每次更新自动下载

与我们的项目关联

CloakBrowser 是一个值得关注的开源项目，特别是对于需要对抗 Cloudflare 保护的数据采集场景。不过对于自身使用场景需要分析：

如果使用 Playwright 做自动化：CloakBrowser 是最低改造成本的选择（改一行 import）
如果追求极致反检测：nodriver + 系统 Chrome 的路线可能更优（28/31 vs 26/31）
如果只需要 HTTP 级别：curl_cffi 的性价比极高（零浏览器开销，得分一样）

Browser Profile Manager 这个自托管多指纹管理方案对需要维护大量身份的场景很有价值——作为 Multilogin 的免费替代。

评分

维度	评分	说明
创新性	⭐⭐⭐⭐⭐	源码级 C++ 补丁思路独到，与 JS 注入路线拉开代差
实用性	⭐⭐⭐⭐	pip install 即用，Playwright API 兼容，改一行代码就行
性能	⭐⭐⭐⭐	二进制 ~200MB，启动开销合理
效果	⭐⭐⭐⭐	主流反爬大部分能过，但 Playwright 协议指纹有理论局限
成熟度	⭐⭐⭐⭐	v0.3.31，维护活跃，Chromium 更新跟随较快
社区	⭐⭐⭐⭐⭐	13k+ stars，104 issues，15 PRs，生态活跃
文档	⭐⭐⭐⭐	README 完整，有 CHANGELOG、FAQ、集成指南
综合	⭐⭐⭐⭐	开源反检测浏览器的新标杆，但注意 Playwright 协议指纹的架构局限

扩展阅读

GitHub: https://github.com/CloakHQ/cloakbrowser
官网: https://cloakbrowser.dev/
Browser Profile Manager: https://github.com/CloakHQ/CloakBrowser-Manager
Docker: https://hub.docker.com/r/cloakhq/cloakbrowser
PyPI: https://pypi.org/project/cloakbrowser/
npm: https://www.npmjs.com/package/cloakbrowser
TechTimes 报道: https://www.techtimes.com/articles/316664/20260515/cloakhqs-open-source-chromium-fork-defeats-cloudflare-datadome-perimeterx-without-configuration.htm
Ian Paterson 基准测试: https://ianlpaterson.com/blog/anti-detect-browser-benchmark-patchright-nodriver-curl-cffi/