Todos os posts

FourA Digest: 26 de junho a 3 de julho de 2026

Auto enviado para produção: um endpoint que escolhe Single, Proxy Finder ou Browser e lida com desafios do Cloudflare. Além de 6 novos idiomas em nossos sites.

Destaques

Auto enviado para produção esta semana. Aponte-o para qualquer URL e ele percorre uma hierarquia ciente de custos (probe, encontrar uma saída, resolução por browser, replay barato) e retorna o conteúdo mais a session que o obteve. Uma resolução fria do Cloudflare Turnstile em minfin.bg leva cerca de 5 segundos via Auto; a próxima chamada faz o replay via Single a 2 créditos. Também adicionamos 6 idiomas no blog, docs e portal de atualizações, levando-nos de 7 para 13.

O que há de novo

Auto: um endpoint, quatro produtos, ciente de custos

POST /api/auto está ativo. Você passa uma URL e ele escolhe o produto certo (Single, Proxy Finder ou Browser), lida com desafios do Cloudflare quando eles aparecem e devolve a response mais um objeto session com o ID do proxy, cookies e user agent que funcionou. Reutilize a session retornada na próxima chamada e o Auto faz o replay via Single a 2 créditos em vez de passar por uma nova resolução completa.

Cada response agora carrega um rastreamento meta para que você possa ver qual etapa venceu, se uma defesa foi resolvida, quantas subchamadas foram necessárias e o total de créditos gastos. Traga suas próprias regras de validate e o Auto as aplica em cada etapa, não apenas na última, de modo que uma página de geo-block retornada com transporte 200 não conta mais como sucesso como costumava acontecer.

O playground do Dashboard ganhou uma aba Auto com timeout_ms, ignoreProxies, returnSession e forceProxy conectados, para que você possa testar o Auto a partir de um formulário antes de integrá-lo ao código.

6 novos idiomas

Espanhol, francês, japonês, coreano, português brasileiro e russo se juntaram ao blog, docs e portal de atualizações, levando-nos de 7 para 13 idiomas em nossos sites públicos. O conteúdo é traduzido por um pipeline ciente de funções: os rótulos de nav recebem um prompt de brevidade sobre literalidade para que a barra lateral permaneça curta, os corpos dos posts recebem um prompt de preservação de markdown para que os blocos de código e cabeçalhos sobrevivam intactos.

O seletor de idiomas também foi reconstruído. As bandeiras sumiram (a bandeira da Espanha afasta os outros 20 países de língua espanhola, e a mesma lógica se aplica ao português, árabe e inglês). Os nomes nativos agora carregam a informação, e cada opção também mostra seu nome no idioma ativo da UI, para que você possa encontrar "Deutsch" como "немски" a partir de um navegador búlgaro. Digite na caixa de busca no topo para filtrar as 13 localidades até a que você deseja, use as setas do teclado para mover e pressione enter para alternar. Cada opção é uma tag <a href> real com hreflang e lang, para que os mecanismos de busca e crawlers de IA possam seguir cada versão de idioma.

Tratamento do Cloudflare: o que realmente foi corrigido

O Auto agora lida com quatro situações do Cloudflare que costumavam vazar a response errada:

  • O intersticial "Just a moment" servido com transporte 200 não conta mais como sucesso. O Auto escala para uma etapa de resolução em vez de entregar a página de desafio.
  • Desafios não interativos (o auto-pass "Checking your browser" do marathonbet) são renderizados no client-side após a liberação. O Browser monitora o DOM ativo e finaliza no momento em que o cf_clearance chega, em vez de expirar em uma response vazia de nível superior.
  • O status real pós-liberação é respeitado. Um geo-block que o Cloudflare serve após a aprovação do desafio retorna 451, não 200 com um corpo suspeito.
  • Resoluções interativas do Turnstile (minfin.bg) são concluídas de ponta a ponta. O Auto tenta primeiro uma resolução de browser com saída direta (um endpoint de saída confiável passa pelo Turnstile onde saídas gratuitas de datacenter têm o desafio escalado) e depois recorre à busca exaustiva de proxy se isso falhar.

MCP: foura_auto e descoberta pública

O servidor MCP ganhou uma ferramenta foura_auto que espelha /api/auto. Passe uma URL para ela e receba o conteúdo e uma session de volta. A descoberta (ferramentas, prompts, capacidades) agora não exige autenticação para que os agentes possam navegar antes de se autenticarem, e o mapa /llms.txt é servido por proxy na raiz. A landing page mudou para foura.ai/mcp para ganho de autoridade de link (link equity), e o subdomínio redireciona (301) os navegadores para lá.

Por baixo do capô

Estreitamos o limite de SSRF em torno dos fetchers. Um firewall de saída no nível do kernel impede que os dois serviços emissores de request abram conexões para faixas privadas, CGNAT, link-local e metadados de nuvem. A verificação no nível da aplicação já cobria a URL, agora os caminhos de nível inferior também não conseguem deixar passar nada. O campo proxy em uma request recebe o mesmo tratamento: um host de proxy fornecido pelo cliente que se resolve para um endereço privado é rejeitado antes que a request seja enviada.

O log de atividades nunca mais armazena uma URL de proxy bruta, mesmo quando um cliente a envia. A response que você vê sempre carrega o ID de proxy opaco em base36, e o payload armazenado corresponde a isso. Também removemos o header x-powered-by de todas as responses da API.

Números

  • A resolução interativa do Turnstile em minfin.bg: 200 com conteúdo do ministério em cerca de 5 segundos, depois 2 créditos por replay através da session em cache.
  • Em um alvo com rate limit sob carga concorrente, o Auto agora se distribui por múltiplas saídas (4 saídas distintas usadas em um host de saída fixa, 21 de 24 replays a 2 créditos) em vez de acumular todas as requests em uma única saída.
  • 13 idiomas ativos no blog, docs e atualizações.

Auto é o formato da API que vínhamos construindo ao longo de todo o trimestre. Aponte para uma URL, obtenha a response, mantenha a session. O trabalho interessante agora está nas bordas: medir quão bem a hierarquia ciente de custos se amortiza no seu tráfego real e encontrar os padrões de validate que capturam os casos de sucesso falso-positivos em que ninguém pensa.