Show HN: Mochi.js: bun-native 고충실도 브라우저 자동화 라이브러리

Source: Hacker News

소개

저는 mochi.js 를 공유합니다 – Bun‑네이티브이며 raw‑CDP 기반의 브라우저 자동화 프레임워크입니다. 이 프레임워크는 일관성과 일반 트래픽과의 측정된 동등성을 중시하면서, 순수하게 JavaScript 레이어에서 기본 Chromium을 대상으로 프로그램적인 브라우저 사용을 보다 효율적으로 만들도록 설계되었습니다.

일반적인 자동화와의 차이점

대부분의 브라우저 자동화 도구는 주로 겉모습만 바꾸는 클라이언트‑사이드, 라인‑바이‑라인 탐지를 사용합니다. 설득력 있게 보일 수는 있지만 실제 WAF나 자동화 방어와는 거의 관련이 없습니다.

Mochi.js는 실제로 중요한 부분을 목표로 하여 캡차, WAF 및 기타 많은 방어 메커니즘을 우회할 수 있게 합니다. 경우에 따라 “거짓말”을 할 필요가 없기 때문에 Chromium 포크보다 더 나은 성능을 보이기도 합니다.

기술적 기반

• 여러 WAF를 분석하여 도출한 프로브 매니페스트를 기반으로 가장 중요한 탐지 벡터를 포괄합니다.
• Turnstile/인터스티셜 챌린지를 자동으로 해결합니다.
• 일자리 FingerprintJS (FPJS) 의심 점수를 한 자리 수 수준으로 낮추고 강력한 클라이언트‑사이드 결과를 달성합니다.
• 알려진 제한 사항: browserscan 및 WAF 탐지 기법과 근본적으로 충돌하는 몇몇 다른 도구들.

동기

현재의 “봇 탐지” 패러다임은 근본적으로 깨졌습니다. 예를 들어 Turnstile 스크립트는 디버거가 하드웨어에서 추출한 데이터를 검사하려 할 때 스스로 파괴됩니다. 업계에서는 이를 “보안”이라고 부르지만, 실제로 하드웨어가 내보내는 데이터를 의도적으로 제어하는 스크립트를 “악의적인 행위자”가 “봇 회피”를 수행한다고 라벨링합니다.

저는 하드웨어 현실을 존중하는 라이브러리를 만들었습니다. 이것이 여러분의 보안 모델에 도전한다면, 그 모델이 침입과 비밀에 의존하고 있기 때문입니다.

철학

Mochi는 WAF 불투명성의 정반대—투명 상자 솔루션입니다:

• MIT 라이선스로 배포되며, 완전 문서화된 DAG, 지문 매니페스트 스키마, 수집 프로세스를 제공합니다.
• 실시간 벤치마크가 공개적으로 커밋됩니다(예: 리눅스 데이터센터 IP에서 Mochi는 FingerprintJS Pro v4에 대해 suspect_score: 8 및 bot: not_detected 를 기록).
• 기본값은 호스트 OS와 일치하도록 설정됩니다: 리눅스에서는 Windows가 아니라 프라이버시‑민감한 리눅스 지문을 사용합니다. 이는 OS 신호가 실제 사용자 지표이기 때문입니다.

이를 통해 WAF가 대부분 사람들이 생각하는 것을 차단하고 있지 않으며, 실제 동작에 대한 의문을 제기합니다.

라이선스 및 제공

Mochi.js는 MIT 라이선스 하에 완전히 무료이며 오픈 소스입니다. 독점 제품, 패치된 Chromium 포크, SaaS 서비스와는 어떠한 연관도 없습니다.

• GitHub 저장소:

토론

세부 사항, 문서 또는 기타 질문이 있으면 언제든지 논의하겠습니다.

---

Comments URL:
Points: 5
Comments: 1