CloakHQ, C++ 소스 패치 49건 적용 'CloakBrowser' 오픈소스 공개… Playwright·Puppeteer 드롭인 교체, reCAPTCHA v3 0.9·Cloudflare Turnstile 통과·Chromium 146

CloakHQ가 안티봇 우회를 목적으로 하는 스텔스 브라우저 'CloakBrowser'를 GitHub에 오픈소스로 공개했다. 저장소(CloakHQ/CloakBrowser)는 누적 2,368개 별을 기록 중이며, 같은 날에만 482개의 별이 추가돼 GitHub Trending에 올랐다.

프로젝트의 정체성은 README 콜아웃에서 분명히 밝혀진다. "패치된 설정도, JS 인젝션도 아니다. 핑거프린트가 C++ 소스 레벨에서 수정된 진짜 Chromium 바이너리"라는 설명이다. 안티봇 시스템이 CloakBrowser를 정상 브라우저로 판단하는 이유 역시 "실제로 정상 브라우저이기 때문"이라고 표현한다. 프로젝트는 Python·JavaScript용 Playwright·Puppeteer 드롭인 교체를 표방하며, "같은 API, 같은 코드, 임포트만 바꾸면 된다. 코드 3줄, 30초 만에 차단 해제"가 슬로건이다.

기술적 차별점은 49건의 소스 레벨 C++ 패치다. 패치 영역은 canvas, WebGL, 오디오, 폰트, GPU, 화면, WebRTC, 네트워크 타이밍, 자동화 시그널, CDP 입력 동작 등을 망라한다. 'humanize=True' 한 플래그로 베지어 곡선을 따르는 마우스 움직임, 글자 단위 타이핑, 사실적인 스크롤 패턴이 적용돼 행동 기반 탐지를 통과한다. README는 reCAPTCHA v3에서 인간 수준에 해당하는 0.9 점수를 서버 사이드에서 검증받았다고 명시한다.

CloakBrowser 측은 Cloudflare Turnstile, FingerprintJS, BrowserScan을 비롯해 30곳 이상의 탐지 사이트에서 테스트를 진행했다고 밝혔다. 비교 표에서는 stock Playwright의 reCAPTCHA v3 점수가 0.1(봇)인 반면 CloakBrowser는 0.9(인간)로 표기되며, 'navigator.webdriver'가 false로, 'navigator.plugins.length'가 5로, 'window.chrome'이 객체로, UA가 'Chrome/146.0.0.0'으로 노출돼 헤드리스 누수가 없다고 설명한다. CDP 탐지에서 'isAutomatedWithCDP: false'가 나오고, TLS 핑거프린트도 ja3n·ja4·akamai 모두 Chrome과 일치한다고 적시한다. bot.incolumitas.com에서는 13개 실패가 1개로, deviceandbrowserinfo.com에서는 6개 true 플래그가 0개로 줄었다고 표는 명시한다.

설치는 'pip install cloakbrowser' 또는 'npm install cloakbrowser' 한 줄로 끝난다. 첫 실행 시 약 200MB 크기의 스텔스 Chromium 바이너리가 자동으로 내려받아져 로컬에 캐시된다. 백그라운드 자동 업데이트 체크가 내장돼 항상 최신 스텔스 빌드가 적용된다. 프로젝트는 무료 오픈소스로, 구독료나 사용량 제한이 없다고 강조한다. 프록시 IP에서 타임존·로케일을 자동 감지하려면 'pip install cloakbrowser[geoip]' 옵션을 추가로 설치하면 된다.

마이그레이션 예시도 단순하다. Python에서는 'from playwright.sync_api import sync_playwright' 대신 'from cloakbrowser import launch'로 한 줄 변경, JavaScript에서는 'import { launch } from "cloakbrowser"'로 교체하면 기존 'page.goto'·'browser.new_page' 코드가 그대로 동작한다. Puppeteer는 'cloakbrowser/puppeteer' 경로의 import를 통해 지원되며, Docker로 즉석 시연하려면 'docker run --rm cloakhq/cloakbrowser cloaktest' 명령을 실행하면 된다.

최근 변경 사항으로는 Chromium 146 업그레이드(145.0.7632.x → 146.0.7680.177)와 함께 추가된 57건의 핑거프린트 패치가 핵심이다. 새 패치는 WebAuthn, AAC 오디오, 윈도우 위치 등 추가 탐지 벡터를 다루고 WebGL·canvas 일관성도 보강했다. 또 '--fingerprint-webrtc-ip=auto' 플래그로 프록시의 출구 IP를 해석해 WebRTC ICE 후보를 스푸핑하며, 'geoip=True' 사용 시 추가 네트워크 호출 없이 자동 적용된다. DNS·연결·SSL 타이밍은 0으로 고정되고 Proxy-Connection 등 프록시 캐시 헤더는 제거된다.

API 측면에서는 비동기 'launch_context_async()'와 JS 'contextOptions' 이스케이프 해치가 추가돼 'storage_state'·'permissions'·'extra_http_headers' 등 Playwright 'newContext()' 옵션을 그대로 전달할 수 있다. 'proxy="socks5://user:pass@host:port"' 형태의 네이티브 SOCKS5 프록시가 모든 launch 함수에서 직접 동작하며, QUIC/HTTP3는 SOCKS5의 UDP ASSOCIATE를 통해 터널링된다. 'cloakserve' CDP 멀티플렉서는 다중 연결 CDP 프록시로 재작성됐고, 키보드 이벤트는 isolated worlds·trusted dispatch로 분리돼 행동 기반 스텔스를 강화했다.

CloakHQ는 자체 호스팅 멀티세션 도구 'CloakBrowser Manager'도 함께 제공한다. Multilogin·GoLogin·AdsPower의 셀프 호스팅 대안을 표방하며, 고유 핑거프린트·프록시·세션을 가진 브라우저 프로파일을 만들고 noVNC를 통해 브라우저에서 직접 띄워 조작한다. 실행 명령은 'docker run -p 8080:8080 -v cloakprofiles:/data cloakhq/cloakbrowser-manager'이며, http://localhost:8080 접속 후 프로파일 생성·Launch만으로 사용된다. 라이선스는 MIT로 공개돼 있다.

비교 테이블에서 CloakBrowser는 playwright-stealth(JS 인젝션)·undetected-chromedriver(설정 패치)·Camoufox(Firefox C++ 패치) 대비 Chromium에 C++ 레벨 패치를 가한 능동적으로 유지보수되는 프로젝트로 자리매김한다. 마지막 검증은 2026년 4월(Chromium 146) 기준이며, browser-use·Crawl4AI·Scrapling·Stagehand·LangChain·Selenium 등 AI 에이전트·자동화 프레임워크와의 통합도 지원된다고 README는 명시한다. 한편 CloakBrowser는 CAPTCHA를 푸는 도구가 아니라 등장하지 않게 하는 도구이며, 프록시 회전·CAPTCHA 풀이 서비스는 내장하지 않는다고 별도로 못 박는다.