Mochi.js: Thư viện tự động hóa trình duyệt Bun-native với khả năng vượt qua WAF và Captcha

Mochi.js là một khung làm việc tự động hóa trình duyệt mới được xây dựng trực tiếp trên nền tảng Bun, sử dụng giao thức raw-CDP để đảm bảo tính nhất quán cao với lưu lượng truy cập thực. Thư viện mã nguồn mở này tập trung vào việc vượt qua các cơ chế phòng thủ như WAF và Captcha thông qua một động cơ nhất quán quan hệ, thay vì chỉ che giấu các đặc điểm bề mặt.

Động cơ nhất quán quan hệ

Điểm khác biệt chính của Mochi.js so với các công cụ tự động hóa khác là "động cơ nhất quán quan hệ" (Relational consistency engine). Mọi bề mặt dấu vân tay — bao gồm canvas, WebGL, audio, fonts, MediaDevices và WebGPU — đều được dẫn xuất từ một cặp (profile, seed) duy nhất thông qua một đồ thị có hướng không chu trình (DAG) gồm 48 quy tắc.

Điều này đảm bảo không có các dấu vân tay "Frankenstein" lộn xộn; ví dụ, một User Agent (UA) của Mac sẽ không bao giờ xuất hiện cùng với thông tin WebGL của Linux. Sự nhất quán này là chìa khóa giúp Mochi.js vượt qua các hệ thống phát hiện bot tinh vi.

Tập trung vào thực tế thay vì hình thức

Hầu hết các hình thức tự động hóa trình duyệt hiện nay tập trung quá nhiều vào việc thăm dò từng dòng mã phía khách hàng, điều mà tác giả cho là mang tính trang trí và không có nhiều ý nghĩa trước các hệ thống WAF (Tường lửa ứng dụng Web) hoặc cơ chế chống tự động hóa thực tế.

Mochi.js tập trung vào những gì thực sự quan trọng, cho phép người dùng vượt qua captchas, WAF và hầu hết các cơ chế phòng thủ. Trong một số trường hợp, thư viện này thậm chí hoạt động tốt hơn các bản fork của Chromium đơn giản vì nó không cần phải "nói dối".

Minh bạch và Triết lý thiết kế

Mochi.js được thiết kế để minh bạch hoàn toàn, trái ngược với sự mờ mịt của các hệ thống WAF. Đây là một "hộp kính" (glass box) với giấy phép MIT. Toàn bộ cấu trúc DAG, sơ đồ dấu vân tay và quy trình thu thập dữ liệu đều được tài liệu hóa rõ ràng.

Thư viện thậm chí công khai các điểm chuẩn (benchmarks) trực tiếp của mình. Ví dụ, Mochi chạy trên một IP trung tâm dữ liệu Linux đã đạt điểm nghi ngờ (suspect_score) là 8 và được đánh giá là "bot: not_detected" đối với FingerprintJS Pro v4.

Một điểm thú vị là Mochi.js không cố tình nói dối một cách không cần thiết. Nó mặc định khớp với hệ điều hành máy chủ (host-OS). Nếu bạn chạy Mochi trên máy chủ Linux, nó sẽ sử dụng các dấu vân tay riêng tư phù hợp với Linux thay vì giả làm Windows. Điều này chứng minh rằng các WAF không thực sự chặn những gì mọi người nghĩ, và đặt ra câu hỏi về những gì chúng thực sự làm trong các tải trọng bị che giấu.

Tác giả xây dựng Mochi.js với triết lý tôn trọng thực tế của phần cứng. Nếu điều đó phá vỡ mô hình bảo mật của một hệ thống, đó là vì mô hình đó dựa vào việc xâm phạm và bí mật. Mochi.js là câu trả lời cho mô hình phát hiện bot hiện tại mà tác giả cho là đã bị phá vỡ.

Thư viện hiện có sẵn miễn phí và hoàn toàn mã nguồn mở trên GitHub.