Show HN: Mochi.js:基于 bun 的高保真浏览器自动化库
一句话看懂:Mochi.js 是一个全新的浏览器自动化框架,它使用原生 Bun 运行时和 Chrome DevTools Protocol,构造出无法被反爬虫系统识别的“真浏览器”指纹和行为模式,试图彻底取代 Playwright 和 Puppeteer 在反检测场景中的位置。
事件核心:发生了什么
开发者今天在 Hacker News 上发布了 Mochi.js,一个基于 Bun 运行时的高保真浏览器自动化框架。其核心方法是通过一个统一的关系一致性引擎,将 Canvas、WebGL、音频、字体、MediaDevices、WebGPU 等所有可被检测的表面指纹,都从一个单一的(profile, seed)对衍生出来,避免出现“Mac 的 User-Agent 配上 Linux 的 WebGL”这种逻辑矛盾。此外,Mochi.js 直接通过 CDP 调用 Chromium 原生的网络层来发送请求,保证了 TLS 指纹(JA4/JA3/H2)为真实的 Chrome 指纹,同时将鼠标点击、键盘输入和滚动行为替换为基于 Bezier 曲线和 Fitts 定律的生物力学合成模型,模拟人类的运动轨迹。框架目前仅支持 Bun 运行时,无需 Node.js、Python 等外部依赖,已按 MIT 协议开源。
为什么重要
在反爬、反机器人、人机验证持续升级的背景下,传统的 Playwright 和 Puppeteer 即使配合各种指纹注入工具,仍然会留下可被检测的“痕迹”。Mochi.js 的设计思路是反检测整个链路的所有检测点,包括逻辑一致性、网络指纹、行为模型和抗探测能力,并且把这些功能打包在一个统一的库中。目前公开信息显示,这个项目已在 GitHub 上引发广泛讨论——它让“一行代码绕过 Turnstile 验证”从零散的工具组合变成了标准库式的解决方案。如果该项目能持续维护并完善生态,它可能会改变浏览器自动化工具的市场格局,尤其是在需要高保真模拟社交平台、电商登录页、支付流程等场景中。
对用户/开发者/创作者的影响
对于需要爬虫和自动化测试的开发者:Mochi.js 提供了一个开箱即用的“零痕迹”方案,尤其适合需要绕过 Cloudflare Turnstile、谷歌 reCAPTCHA v3 等高级人机验证的采集场景。但它要求开发者熟悉 Bun 运行时,并有能力调整 profile 和 seed 参数来适配特定目标。
对于企业采购反爬方案的团队:这个项目意味着开源社区正在制造更难以识别的自动化工具。企业在评估反爬解决方案的有效性时,需考虑是否能够检测到基于 CDP 原生代理和深度学习行为建模的流量,而不仅仅是简单的浏览器签名比对。
对于 AI 训练数据采集者:高质量的模型训练数据往往需要真实的浏览器行为来伪装。Mochi.js 的“零碎片”特性极大地降低了被拦截的风险,使得大规模爬取行为更加隐蔽,但同时可能触及网站服务条款和伦理边界。
值得关注的后续
一是项目能否在 Bun 生态之外拓展到 Node.js 或 Python 支持,从而扩大用户基础;二是其社区能否维护一套实时更新的“真实设备”基线数据库,这直接影响反检测效果;三是反爬虫服务商是否会针对这种基于统一指纹 DAG 和原生 CDP 的框架推出专门的检测策略,形成新一轮攻防竞赛。
