
我看到一個怪現象。CloakHQ/CloakBrowser 這個 repo 2026 年 2 月才出現,到 6 月初已經 25,221 顆星,README 大字寫著「Stealth Chromium that passes every bot detection test. 30/30 tests passed.」社群、推廣文、SourceForge mirror 全都同一個敘事:終於有一個能讓你的 Playwright「真的像真人」的 Chromium fork 了。
但靜下來想:如果三行 code 就能換到「reCAPTCHA v3 拿 0.9 分」,這到底是工程突破,還是某種更大的事情正在崩?
我的答案——這篇文章想說的——是後者。CloakBrowser 紅的不是技術,是 AI agent 全面撞牆引發的集體焦慮。這個焦慮的另一邊,是 Cloudflare 在 2026 年 6 月剛丟出的那串數字:自動化流量已經佔網路 HTTP 請求 57.5%,史上第一次超越真人。
當你的 agent 比真人還像真人,網路就不再是一個能讓真人安心待著的地方。
先把 CloakBrowser 解剖開來:紅的不是技術
我把 repo 的 CHANGELOG、BINARY-LICENSE.md 與獨立基準測試對照著看一輪,發現幾件跟行銷頁說的完全不一樣的事。
第一件事:「Free and open source」是有條件的。 wrapper(你 pip install 拿到的 Python/JS 部分)是 MIT 沒錯。但真正提供隱身價值的 58 個 C++ patch 與編譯後的 Chromium binary,是放在 BINARY-LICENSE.md 下的專有閉源——禁止重新分發、禁止逆向工程、OEM/SaaS 要另談付費 license。你裝它,等於同意一個匿名 ProtonMail 組織(cloakhq@pm.me)的 binary 進到你的開發機,並且預設背景自動更新。
第二件事:獨立基準說它不強。 Ian Paterson 2026 年那份 7 工具 × 31 Cloudflare 目標的 benchmark 給出非常難堪的結果:
| 工具 | 通過 / 31 | 開源程度 | 大小 |
|---|---|---|---|
| nodriver | 28 | 完全開源 | 數 MB |
| CloakBrowser | 26 | 半開源 | 130 MB |
| curl_cffi | 26 | 完全開源 | 6.4 MB |
| Patchright | 25 | 完全開源 | wrapper |
| Camoufox | 25 | 完全開源 | patched Firefox |
作者那句話我記了很久:「If a 21-line wrapper ties a 130MB patched fork, that fork is paying for something the matrix doesn't measure.」翻成人話就是:你那 130MB 的 patched Chromium,跟一個 21 行的 Python wrapper 打平,神扯。而且 CloakBrowser 的 macOS arm64 構建在那次測試時已經落後 Linux/Windows 兩個月,這對 production 來說是雷。
第三件事:它有真的工程在做。 CHANGELOG 含實際的 security fix(CSRF、SSRF、CI shell injection),有外部 contributor PR 被 merge,每週一個 binary build 節奏穩定。所以這不是純行銷專案——它是一個「真實但被高估」的混合產品。
那為什麼還會 25k stars?因為它正好踩到一個更深的痛點。

真正的轉變:bot 流量超車真人
Cloudflare Radar 2026 年 6 月公布的 數據 是一個產業分水嶺:bot 佔網路 HTTP 請求 57.5%,真人只剩 42.5%。 這是該公司第一次記錄到這個翻轉。
更關鍵的是構成。傳統上「bot 流量」指 search engine crawler 加上 spam。但 2026 的 bot 不是這個樣子。根據 coronium.io 整理的 2026 closing web 報告:
- GPTBot 請求一年漲 147%
- Meta-ExternalAgent 年增 843%
- AI 相關 bot 流量在 2025 年 1 月到 2026 年 3 月之間漲 300% 以上
但這些 user-agent 寫得清清楚楚的爬蟲還只是冰山上頭。冰山下的是 AI agent——browser-use、Stagehand、Claude Computer Use、OpenAI Operator——它們不會自稱 GPTBot,它們開的是一個真實的 Chromium,做的是像真人在點按鈕、填表單、捲頁面的事。Cloudflare 的數字之所以爆,是因為這些 agent 不再是 background crawler,它們是每個訂閱了 Perplexity Pro 的使用者派出的代理人,每一次「幫我訂張機票」「幫我比較這三個產品」都會驅動一個 headless(或越來越多 headful)瀏覽器跑滿你整個流量。
而傳統 scraping 工具——scrapy、puppeteer-extra、undetected-chromedriver——對抗的偵測模型是 2018 到 2022 那一代的「找 webdriver 屬性、找 navigator.plugins、找 canvas 雜湊」。2026 的偵測模型是 ML 行為分析:滑鼠加速度曲線、捲動 easing、鍵盤 dwell time、TLS 握手節奏。CDP 注入的 JS 騙不了這些。所以你才看到 CloakBrowser 那個 humanize=True 變成宣傳重點——它送出的 mouse move 是用 Bezier 曲線 + 隨機抖動產生的,不是 page.mouse.move(x,y) 那種直線傳送。
這就是 CloakBrowser 紅的真正原因。不是「我們做了什麼新的隱身術」,是「舊的隱身術全都掛了,AI agent 又非過不可」。

防禦方在打誰?精神分裂的 Cloudflare
這裡開始有趣。Cloudflare 同時做了兩件看起來互斥的事。
動作一:預設封鎖 AI bot。 2025 年 7 月 Cloudflare 對全平台預設啟用 Block AI Bots,並推出 Pay Per Crawl——AI 公司想抓內容?OK,會收到 HTTP 402 Payment Required,內容站方訂價,能不能抓你自己決定。截至 2025 年 8 月,根據 coronium.io 彙整 已有 2.5M+ 網站明確 disallow AI training,18.7% 的站點封鎖 GPTBot。Stack Overflow 早期測試的數字:未授權 bot 流量降 32%,data licensing 營收漲 27%——對 Cloudflare 客戶來說是雙贏。
動作二:跟 Anthropic 合作做 agent 平台。 2026 年 5 月 Cloudflare 跟 Anthropic 宣布 Claude Managed Agents on Cloudflare,同時推出 Browser Run——一個專門給 AI agent 用的雲端瀏覽器服務,內建 Stagehand 整合。換句話說 Cloudflare 一手寫「封 AI bot」的 WAF 規則,另一手賣「給你 AI agent 用的瀏覽器」基礎設施。
這看起來精神分裂,但其實非常清楚:Cloudflare 在乎的不是「機器 vs 真人」,是「聲明的 vs 隱藏的」。
GPTBot 寫明 user-agent、走公開 IP range、遵守 robots.txt,那就是「聲明的」——站方可以選擇收費、放行、或封鎖。Browser Run 跑出去的 agent 帶 verified bot 標記、走 Cloudflare 自家網路、有可追溯的請求簽章,那也是「聲明的」。
而 CloakBrowser、Comet、自架 browser-use + residential proxy——這些是「隱藏的」。它們刻意讓自己看起來像不是 bot 的東西,這就觸發了真正的防禦邏輯:不是封 bot,是封未授權的偽裝。
這個區分,是接下來法律戰場的全部前提。

法律邊界正在重劃:Amazon v. Perplexity 是個分水嶺
2026 年 3 月 9 日,加州北區聯邦法院在 Amazon v. Perplexity 案核發禁制令,禁止 Perplexity 的 AI agent「Comet」登入 Amazon 帳號代客購物。Chesney 法官在判決裡寫了一句非常關鍵的話,被 Cooley 律師事務所整理:Perplexity「以 Amazon 使用者的同意,但未經 Amazon 授權」存取了帳號,可能違反 CFAA 與加州 §502。
這個判決有兩個地方對我們 developer 來說很關鍵。
第一,「使用者授權」跟「平台授權」被當成兩件不同的事。你登入你自己的 Amazon 不違法,但你叫 agent 用你的帳號繞過 Amazon 早在 2025 年 8 月就設好的 anti-bot 技術屏障進去,那是另一回事。這條線跟 hiQ Labs v. LinkedIn、Meta v. Bright Data 這類「公開資料可以爬」的判決方向完全不同——一個是「資料層」,一個是「繞過技術屏障的行為層」。
第二,主動繞過 anti-bot 系統可能構成 CFAA 與 DMCA §1201 反規避責任。Reddit v. Perplexity 還在跑,但 coronium.io 整理 的法學共識已經很清楚:「在沒有認證的前提下取得公開資料」站在堅實的法律基礎上,但「繞過技術性的 anti-bot 屏障」風險升高。第九巡迴法院已暫停這個禁制令等待 6 月 11 日上訴口頭辯論——但禁制令的訊號已經發出。
CloakBrowser 的 README 其實寫得相當謹慎——BINARY-LICENSE.md 明文禁止用於未授權的金融、銀行、醫療、政府認證系統,禁止 credential stuffing。但問題是工具不能控制使用者。一旦你把它包進你的 CI、你的 SaaS、你的客戶產品,責任就到你頭上。
而 2026 年的趨勢非常明確:站在 stealth 那一邊的工具,法律風險溢價在拉高。

給 developer 的決策樹:你要站哪一邊?
寫到這裡我已經把氣氛搞得很沉重。但實務上你還是要把活做完,所以我把這個生態切成三條路線。
需求是什麼?
├── 抓自己授權的資料 ──→ patchright / nodriver(完全開源、基準分高)
├── 做給使用者用的 AI agent ──→ Cloudflare Browser Run / Browserbase(verified bot 路線)
├── 想 scrape 公開資料
│ ├── 站點明確禁止自動化 ──→ 停,評估法律風險(Amazon v. Perplexity)
│ └── 公開無認證 ──→ 開源工具 + residential proxy + 尊重 robots.txt
└── 真要 CloakBrowser ──→ Docker 隔離、鎖版本、關 auto-update、驗 sigstore
幾個原則順著聊。第一線當然是先試完全開源的替代品——Ian Paterson 的基準說 nodriver 28/31 勝 CloakBrowser 26/31,完全開源、不用信匿名 binary、出事可審程式碼,試完不夠用再升級,這個順序不會錯。
做 AI agent 的話,走 verified 路線比較划得來。Cloudflare Browser Run、Browserbase 這類服務貴一點,但你的請求被打進 verified bot 池,跟 Pay Per Crawl 生態相容,未來合規空間大很多。把這當成 cloud 的成本,不要當成 stealth 的替代品——它們在防禦方的眼裡是兩種完全不同的存在。
如果真要用 CloakBrowser,請當它是不可信任的二進位來處理。Docker 隔離、不要在主機跑、鎖 release tag、關閉 auto_update、驗證 release 附帶的 sigstore/cosign attestation。匿名閉源 binary 放進你 production 之前,問自己一個問題——下個月團隊收到一封「請更新到 0.4.0」的時候,你有什麼 mechanism 阻止後門 binary 自動下到你的 CI?沒答案就不要裝。
最後一個我自己也提醒了很多次的事:stealth 不是進步。每多一個 CloakBrowser 等級的工具被廣泛採用,Cloudflare、DataDome、Akamai、PerimeterX 就會在下一輪偵測模型裡加碼。整個產業會把更多預算投在防禦上,更多真人會被 CAPTCHA 擋。你贏的是這場單一仗,輸的是整個網路的開放性。
結語:信任邊界正在崩,這場戲沒人會贏
我一開始研究 CloakBrowser 的時候,預期會找到一個「太好以至於不真實」的故事。結果發現一個更怪的東西:一個真實的工程專案、一個技術上剛好夠用的隱身能力、一個被高估的相對優勢、加上一場它只是症狀的更大流行病。
那個流行病的名字叫做「網路上不再分得清誰是誰」。
2026 年 6 月:bot 流量 57.5%,第一次超過真人。Cloudflare 一邊預設封 AI bot,一邊賣 agent 用的雲端瀏覽器。Amazon 法院判 Perplexity 的 agent 不能未揭露身份購物。25,221 顆星跑到一個三個月新生的匿名 ProtonMail 組織的閉源 binary 上。
這些事情串在一起,是一個信任邊界崩潰的速寫。我們以為的「真人 vs 機器」這條線——其實從來都是技術權宜,從 CAPTCHA、honeypot、到 ML 行為偵測。當 AI agent 開始為真人服務而不是取代真人時,這條線在語意上就已經失效了。
真正會留下的問題,不是「能不能繞」,是「為什麼這年頭還需要繞」。
對 developer 來說,我覺得最誠實的姿態是:別假裝這場軍備競賽有贏家。選工具的時候,不要只問「能不能過」,問「過完之後,這個網路會變成什麼樣」。
如果我跟你說了三千字到最後只剩這個提醒,那就值得了。
延伸閱讀
- CloakBrowser GitHub repo——README、CHANGELOG、BINARY-LICENSE 的一手來源
- Anti-detect browser benchmark 2026 — Ian L. Paterson——目前最嚴謹的隱身工具比較
- Cloudflare:bot 流量首次超越真人——2026/06 Radar 數據
- The Closing Web in 2026 — Coronium——Pay Per Crawl、AI bot blocking 數據彙整
- Cloudflare Block AI Bots 官方文件——預設封鎖機制細節
- Cloudflare AI Crawl Control——AI 爬蟲管理工具集
- Claude Managed Agents on Cloudflare——Anthropic × Cloudflare 合作的另一面
- Cloudflare Browser Run——verified agent 的雲端瀏覽器方案
- Amazon Wins Court Order Blocking Perplexity AI Shopping Agent — CNBC——2026/03 禁令新聞報導
- Court Finds AI Agent May Violate CFAA — Cooley——律所法律分析
- Control content use for AI training — Cloudflare Blog——Pay Per Crawl 商業邏輯
沒有留言:
張貼留言