5作者: friebetill2 个月前
嗨,我七年前创建了一个闪卡应用,主要侧重于用户体验。在过去的几个月里,我增加了离线优先模式和一个命令行界面(CLI),允许Claude Code或Codex为你创建高质量的闪卡。我用它来学习医药法规、技术、舞蹈、税务和智能家居方面的内容。我从未真正做过市场营销,这并非我的专长。很想知道你有什么想法。
2作者: ccheshirecat2 个月前
Hi HN, 我来分享一下 mochi.js (<a href="https:&#x2F;&#x2F;github.com&#x2F;0xchasercat&#x2F;mochi" rel="nofollow">https:&#x2F;&#x2F;github.com&#x2F;0xchasercat&#x2F;mochi</a>),这是一个 Bun 原生的、基于原始 CDP 的浏览器自动化框架。它的设计目标是通过专注于一致性,并与常规流量进行可衡量的对等,从而提高程序化浏览器使用的效率,完全基于 JS 层,针对原生 Chromium。 目前最常见的浏览器自动化形式主要侧重于客户端逐行探测,这大多是表面功夫。这让人感觉好一些,但与实际的 WAF 或反自动化防御措施关系不大。 Mochi.js 专注于真正重要的东西,让你能够绕过验证码、WAF 和大多数防御机制。事实上,在某些情况下,它甚至优于 Chromium 分支,仅仅是因为它不需要撒谎。 其基础是基于探测清单构建的,该清单基于对几个 WAF 的分析,并试图涵盖大多数重要内容,然后在此基础上向上构建,同时确保每个决策都有数据支持。自动解决 turnstile/interstitial 问题,个位数的 fpjs 可疑分数,非常好的客户端结果,尽管 browserscan 和其他一些工具是已知的局限性,它们与 WAF 的探测目标根本上是冲突的。 如果有人想讨论细节,请查看文档和 github。它完全免费且开源,采用 MIT 许可证,与任何专有产品没有任何关系。与已修补的 Chromium 分支或 SaaS 无任何关联。 但我也想谈谈我为什么构建它,因为当前的“机器人检测”范式从根本上来说是错误的。 传统上,他们可能会把我的仓库标记为恶意工具,或者充其量,也只是一个灰色地带的工具。 以 Turnstile 为例,如果你附加一个调试器来查看他们从你的硬件中提取了什么数据,他们的脚本会故意自毁。当他们试图提取你的数据时——就像在你的硅片上做客一样,使用你的电力,未经允许,业界却称之为“安全”。 但如果你编写一个脚本来精确控制你的硬件发出什么数据,拒绝提供他们无权要求的数据,你就会突然被标记为从事“机器人规避”的“恶意行为者”。 我觉得我们让自己忍受这一切是荒谬的,而机器人规避社区的立场只会让他们觉得自己更有资格占据道德高地。 我构建了一个尊重我硬件现实的库。如果这破坏了你的安全模型,那是因为你的安全模型依赖于侵入和保密。我不再道歉了。下一个是谁? Mochi 与 WAF 的不透明性完全相反。它是一个透明的盒子。它采用 MIT 许可证。整个 DAG、指纹清单模式、收集过程都有详细记录。我们甚至将我们的实时基准测试提交到公共记录(在 Linux 数据中心 IP 上运行的 mochi 在 FingerprintJS Pro v4 上获得了 suspect_score: 8 和 bot: not_detected)。 我们甚至不会不必要地撒谎。我们默认与宿主操作系统匹配。如果你在 Linux 服务器上运行 mochi,它会使用适用于 Linux 的隐私敏感指纹,而不是 Windows,因为 Linux 是一个真实用户的信号。这证明了 WAF 实际上并没有阻止大多数人认为它们正在阻止的东西,这就引出了一个问题,即它们在那个混淆的负载中到底做了什么。 合法性论点正是他们如何掌控叙事的。而且没有人挑战它,因为另一边的人太忙于表现得好像他们做错了什么。 这是一个阴谋论吗?当然是,但仅仅是因为他们允许这样。试着编一个关于糯米团子的阴谋论吧。