最新

你好，我在七年前创建了一款以用户体验为主的闪卡应用。在过去的几个月里，我增加了离线优先模式和一个命令行界面，允许Claude Code或Codex为你创建高质量的闪卡。我用这个来学习药品法规、技术、舞蹈、税务和智能家居。我并没有真正做过市场营销，这不是我的专长。很想知道你对此的看法。

嗨，HN， 我想分享一下 mochi.js（[https://github.com/0xchasercat/mochi](https://github.com/0xchasercat/mochi)），这是一个基于 Bun 的原生 CDP 浏览器自动化框架。它旨在通过关注一致性和与常规流量的可测量平衡，从 JS 层面上提高程序化浏览器使用的效率，完全基于原生 Chromium。 目前最常见的浏览器自动化形式主要集中在客户端逐行探测，这些探测大多是表面上的。这让人感觉更好，但与实际的 WAF 或反自动化防御并没有太大关系。 Mochi.js 关注真正重要的内容，允许你绕过验证码、WAF 和大多数防御机制。实际上，在某些情况下，它甚至因为不需要撒谎而优于 Chromium 的分支版本。 这个框架的基础是基于对多个 WAF 的分析而建立的探测清单，旨在覆盖大多数重要的领域，并在此基础上向上构建，同时确保每一个决策都有数据支持。它能够自动解决旋转门/插页广告问题，单一数字的 fpjs 可疑评分，客户端结果非常好，尽管 browserscan 和其他一些工具是已知的限制，这与 WAF 的探测目标根本相悖。 如果有人想讨论细节，我会在这里，欢迎查看文档和 GitHub。它是完全免费的开源软件，采用 MIT 许可证，绝对与任何专有产品没有关系。与修补过的 Chromium 分支或 SaaS 也没有任何关联。 但我也想谈谈我为什么要构建这个，因为当前的“机器人检测”范式根本是有问题的。 传统上，他们可能会试图将我的代码库标记为恶意工具，或者充其量是灰帽工具。 以 Turnstile 为例，如果你附加一个调试器来查看他们从你的硬件中提取了什么数据，他们的脚本会故意自毁。当他们试图提取你的数据——作为你硅片上的访客，使用你的电力而不经过许可，行业称之为“安全”。 但如果你编写一个脚本来精确控制你自己硬件所发出的数据，拒绝提供他们无权索取的数据，你突然就被贴上了“恶意行为者”的标签，参与“机器人规避”。 我觉得我们容忍这种情况是荒谬的，而机器人规避社区的立场只会让他们觉得自己能够站在更高的道德立场上。 我构建了一个尊重我硬件现实的库。如果这破坏了你的安全模型，那是因为你的安全模型依赖于侵入和保密。我不再道歉。下一个是谁？ Mochi 完全与 WAF 的不透明性相反。它是一个透明的盒子。它是 MIT 许可证的。整个 DAG、指纹清单架构、采集过程都有文档记录。我们甚至将我们的实时基准测试提交给公共记录（mochi 在一个 Linux 数据中心 IP 上的可疑评分为 8，且在 FingerprintJS Pro v4 中未被检测为机器人）。 我们甚至不会不必要地撒谎。我们默认使用主机操作系统匹配。如果你在 Linux 服务器上运行 mochi，它会使用适合 Linux 的隐私友好型指纹，而不是 Windows，因为 Linux 是一个真实用户的信号。这证明 WAF 实际上并没有阻止大多数人认为他们在阻止的内容，这引发了人们对他们在模糊负载中真正做了什么的质疑。 合法性论点正是他们掌控叙事的方式。而且没有人对此提出质疑，因为另一方的人忙于表现得像是在做错事。 这是阴谋论吗？当然是，但仅仅因为他们允许它存在。试着为粽子编造一个阴谋论。