全部文章

FourA 简报 - 2026年6月26日至7月3日

Auto 已上线生产环境:一个 endpoint 即可自动选择 Single、Proxy Finder 或 Browser 并处理 Cloudflare 验证。此外,我们的网站新增了 6 种语言支持。

亮点

Auto 本周已上线生产环境。将其指向任何 URL,它就会运行一个具备成本意识的阶梯机制(探测、寻找出口、Browser 破解、低成本重放),并返回内容以及获取该内容所需的 session。在 minfin.bg 上,通过 Auto 首次冷启动破解 Cloudflare Turnstile 大约需要 5 秒;接下来的调用则通过 Single 进行重放,仅消耗 2 个 credits。我们还在博客、文档和更新门户中新增了 6 种语言,使支持的语言数量从 7 种增加到 13 种。

最新动态

Auto:一个 endpoint,四款产品,具备成本意识

POST /api/auto 已上线。您只需向其传递一个 URL,它就会选择合适的产品(Single、Proxy Finder 或 Browser),在出现 Cloudflare 验证时进行处理,并返回 response 以及包含成功运行的 proxy ID、cookies 和 user agent 的 session 对象。在下一次调用中重用返回的 session,Auto 就会通过 Single 进行重放,仅消耗 2 个 credits,而无需重新进行耗时的破解。

现在,每个 response 都包含一个 meta 追踪信息,以便您查看哪个阶梯胜出、是否破解了防御、进行了多少次子调用以及消耗的总 credits。您可以提供自己的 validate 规则,Auto 会在每个阶梯上强制执行这些规则,而不仅仅是最后一个,因此以往返回传输状态码 200 的地理限制页面将不再被视为成功。

Dashboard 测试沙箱新增了 Auto 标签页,并接入了 timeout_msignoreProxiesreturnSessionforceProxy,因此您可以在将其接入代码之前,先通过表单操作 Auto。

新增 6 种语言

西班牙语、法语、日语、韩语、巴西葡萄牙语和俄语已加入博客、文档 and 更新门户,使我们公开网站支持的语言从 7 种增加到 13 种。内容由一个具备角色感知能力的流水线进行翻译:导航标签采用“简短优先于字面翻译”的提示词以保持侧边栏简短,文章正文则采用“保留 Markdown”的提示词以确保代码块和标题完整无损。

语言切换器也进行了重构。国旗图标已被移除(西班牙国旗会疏远其他 20 个说西班牙语的国家,同样的逻辑也适用于葡萄牙语、阿拉伯语和英语)。现在由本地化名称来传递信息,并且每个选项还会显示其在当前 UI 语言中的名称,因此您可以在保加利亚语浏览器中将 "Deutsch" 识别为 "немски"。在顶部的搜索框中输入内容,即可将 13 个区域设置过滤为您需要的语言,使用方向键移动,按回车键进行切换。每个选项都是一个带有 hreflanglang 的真实 <a href>,因此搜索引擎和 AI 爬虫可以追踪每一个语言版本。

Cloudflare 处理:实际修复了什么

Auto 现在可以处理以下四种以往会导致泄露错误 response 的 Cloudflare 情况:

  • 伴随传输状态码 200 呈现的 "Just a moment" 过渡页面不再被视为成功。Auto 会升级到破解阶梯,而不是直接向您返回验证页面。
  • 非交互式验证(例如 marathonbet 的 "Checking your browser" 自动通过)在通过后会在客户端进行渲染。Browser 会轮询活动 DOM,并在 cf_clearance 写入的瞬间完成处理,而不会在空的首级 response 上超时。
  • 尊重通过验证后的真实状态。Cloudflare 在验证通过后提供的地理限制将返回 451,而不是返回带有可疑正文的 200。
  • 交互式 Turnstile (minfin.bg) 实现端到端破解。Auto 会首先尝试直接出口的 browser 破解(可信的出口 endpoint 可以通过 Turnstile,而免费的数据中心出口则会导致验证升级),如果失败,则回退到 proxy 轮询尝试。

MCP:foura_auto 与公开发现

MCP 服务端新增了镜像 /api/autofoura_auto 工具。向其传递一个 URL,即可获取内容和 session。发现功能(工具、提示词、能力)现在无需身份验证,以便 agent 可以在验证前进行浏览,并且 /llms.txt 映射已在根目录进行代理。落地页已移至 foura.ai/mcp 以保留链接权重,子域名会将浏览器 301 重定向至该地址。

技术内幕

我们收紧了针对 fetcher 的 SSRF 边界。内核级的出口防火墙会阻止这两个发送请求的服务向私有、CGNAT、链路本地(link-local)以及云元数据范围建立连接。应用级的检查已经覆盖了 URL,现在底层路径也无法绕过任何限制。请求中的 proxy 字段也得到了相同的处理:客户端提供的解析为私有地址的 proxy 主机将在请求发出前被拒绝。

Activity 日志不再存储原始的 proxy URL,即使客户端发送了也是如此。您看到的 response 始终带有不透明的 base36 proxy ID,且存储的 payload 与之匹配。We also 移除了每个 API response 中的 x-powered-by header。

数据表现

  • minfin.bg 上的交互式 Turnstile 破解:约 5 秒内返回带有部门内容的 200 状态码,随后通过缓存的 session 进行重放,每次仅消耗 2 个 credits。
  • 在并发负载下受速率限制的目标上,Auto 现在会分散到多个出口(在固定出口的主机上使用了 4 个不同的出口,24 次重放中有 21 次消耗 2 个 credits),而不是将所有请求堆积在单个出口上。
  • 博客、文档和更新已支持 13 种语言。

Auto 是我们整个季度一直在努力构建的 API 形态。指向 URL,获取 response,保留 session。现在有趣的工作在于边缘领域:衡量具备成本意识的阶梯机制在您的实际流量中分摊成本的效果,以及寻找能够捕获无人想到的误报成功案例的 validate 模式。