cloak 是什么 · 用在什么场景 · 5 分钟看懂原理 / 场景 / 风险(2026 科普)
Cloak 是什么?搜索引擎 SEO / 灰产联盟营销中的 cloaking 技术原理科普 · UA / IP / referer / JS 指纹 5 种主流机制 · 平台反 cloak 检测 · 合规灰产边界。
你可能有过这些疑问
- 老听大 V 说 "cloak 页面" · 到底是什么 · 跟 A/B 测试有什么区别?
- 广告投手圈聊 "过审用 cloak" · 是不是所有 cloak 都违规?
- 看到 SEO 排名爆表的站 · 怀疑它在 cloak · 但不知道怎么判断
- Google 对 cloak 到底怎么查 · 一次违规就直接死号吗?
- 想搞清楚 cloak 的技术边界 · 但网上教程要么太浅要么直接教绕过
这篇文章会拆解:
- cloak 的 5 种识别机制 · UA / IP / referer / JS 指纹 / ML 综合信号 · 各自怎么工作 · 各自的局限
- 5 类使用场景 · 灰产 / SEO 排名 / A/B 测试 / 内容分发 / 广告审核规避 · 各自动机和合规性差异
- 平台端 5 层反 cloak 检测(以 Google 为例)· 双爬虫 / Chrome 数据回流 / 人工审核 / manual action / 广告平台联动
- 合规 vs 违规的边界 · 哪些做法明确违规 · 哪些明确合规 · 哪些还在灰色地带
先搞懂几个词
- Cloak / Cloaking — 服务器端识别请求是不是爬虫 · 给爬虫看内容 A · 给真人看内容 B
- UA(User Agent) — 浏览器发给服务器的自我介绍字符串(如 Chrome/122)· cloak 常见识别点
- Referer — HTTP header · 你从哪个页面跳过来 · cloak 用来判断 Google 抽查还是真人
- ASN(Autonomous System Number) — IP 归属的自治系统号 · IP 段是家用宽带还是机房服务器
- SpamBrain — Google 反 spam AI 系统 · 2022 起用 AI 识别 cloak / 内容操纵
- Landing Page(LP) — cloak 场景的关键页面 · 一份 URL 两套内容
- Fingerprint(指纹) — 浏览器 / 设备的独特特征组合 · cloak 高级识别方式
一句话答案:Cloak(也叫 cloaking · 中文有时译"障眼法")是一类服务器端识别技术的统称 —— 服务器根据访问者身份(爬虫 vs 真人 · Google 蜘蛛 vs 用户 · 广告审核员 vs 普通用户)返回不同内容。它是灰产 SEO、联盟营销、A/B 测试等多种场景共用的核心技术之一 · 本身是中性技术 · 用在哪个场景决定了合规性。
Cloak 的常见使用场景 · 各自动机
Cloak 技术本身是中性的 · 具体场景决定了合规与否。
场景 1 · 灰产 / 联盟营销的合规规避
动机:某些广告内容(赌博 / 金融 / 减肥 / 灰色医疗 / 加密货币衍生品)在广告平台的政策里禁止或限制 · 但玩家还是想投广告。方案是:
- 给广告平台审核员看合规版落地页(比如一个通用的健康建议博客)
- 给广告点击进来的真实用户看实际的推广页面(比如具体的赌博 / 减肥产品)
这类 cloak 的技术要求:
- 精准识别广告平台审核员的访问(IP / referer / 时序特征)
- 审核期间保持合规版 100% 稳定(误判成本极高 —— 一次真实用户拿到合规版 · 转化率归零)
- 转化到实际推广页的用户 · 保留完整转化追踪
合规性:明确违反广告平台政策。Google Ads / Meta Ads / TikTok Ads 都在服务条款里明确禁止 cloaking · 一旦被识别 · 账号封禁 + 已支付广告费不退。
场景 2 · SEO 排名操纵
动机:让 Google 爬虫看关键词密度高、内容长、backlink 结构漂亮的"SEO 优化版" · 让真实用户看转化优化版(比如更多 CTA / 更多联盟链接 / 更少文字)。目的是拿排名 + 拿转化。
这类 cloak 的技术要求:
- 稳定识别 Google / Bing 爬虫(UA + IP 双重验证)
- 爬虫版和用户版内容语义大致一致(避免被判定为"完全欺骗")
- 但关键词密度 / structured data / meta 信息在爬虫版更浓重
合规性:明确违反 Google Webmaster Guidelines。Google 的政策原文(Google Search Central 文档)里 · cloaking 是明列的作弊行为。识别后果:
- 单页降权(最轻)
- 整站从 Google 索引移除(manual action)
- 域名进入 Google 黑名单(所有子域名一起受影响)
Google 端的检测演进:
- 早期(2010 之前):只做偶尔的人工抽查
- 2010-2015:自动化脚本比对"Googlebot 看到的" vs "真机看到的"
- 2015 之后:Chrome / Android 内嵌数据回流(用户实际访问站点时 · Chrome 会把渲染后的 DOM 采样上报) · 直接对比爬虫版 vs 用户版差异
- 2020 之后:AI 模型自动判定"内容差异度是否属于合理的动态渲染" · 差异过大 → 打标
场景 3 · A / B 测试(合规场景)
动机:把不同用户分流到不同页面版本 · 测试哪个转化率高。
跟 cloak 的技术区别:
- A/B 测试的分流逻辑公开(通过 cookie / URL 参数 / 用户 ID 哈希) · 不针对"爬虫 vs 真人"这个二元
- 每个用户拿到的版本一致(第二次访问看到相同版本) · 不像 cloak 是"根据访问者身份变"
- 内容差异通常是营销文案 / CTA 位置 / 颜色这类局部差异 · 不是核心内容替换
合规性:主流 A/B 测试(Google Optimize / VWO / Optimizely / PostHog 等)在 Google 政策范围内被允许。Google 明确说 "A/B testing is not cloaking" 的前提是:
- 测试目的是改善用户体验(不是欺骗爬虫)
- 每个 variant 都对所有用户开放 · 不针对爬虫特殊处理
- 测试周期合理(不是永久性双版本)
场景 4 · 内容分发 / 个性化
动机:根据用户地域 / 语言 / 设备 · 提供不同版本内容。比如:
- 美国 IP 看美元定价 · 欧洲 IP 看欧元定价
- 中文用户看中文页面 · 英文用户看英文页面
- 手机端简化版 vs 桌面端完整版
跟 cloak 的技术区别:
- 差异化的触发条件是用户属性(地域 / 设备) · 不是"爬虫 vs 真人"
- Google 官方文档明确说 "Serving different content based on user location / device is NOT cloaking"
- 前提是爬虫也按 IP 归属拿到对应版本(Googlebot 从美国 IP 来 · 拿美国版内容 · 逻辑对)
合规性:完全合规 · 主流做法。Cloudflare / Fastly 这类 CDN 都提供开箱即用的地域 / 设备分发。
场景 5 · 广告审核规避(独立于灰产)
动机:即使产品完全合规 · 广告平台的审核有时会误判。有些商家用 cloak 是为了避免频繁审核 flip-flop(不是为了推销灰产)· 让审核员每次都看到"审核友好版"。
合规性:违反广告平台政策 · 但道德灰度更高。技术上跟场景 1 是同一套系统 · 平台不区分动机 · 都算违规。
Cloak 到底怎么工作
Cloak 的技术本质是服务器根据请求特征 · 决定返回哪个版本的内容。用一段伪代码讲最清楚:
def handle_request(request):
if is_search_engine_bot(request):
return serve_seo_optimized_page() # 给爬虫看的"干净版"
elif is_ad_platform_reviewer(request):
return serve_compliant_landing() # 给广告平台审核员看的合规版
else:
return serve_actual_promotional_page() # 给真实用户看的实际推广页
关键在于 is_search_engine_bot 和 is_ad_platform_reviewer 这些识别函数是怎么实现的。主流有 5 种识别机制 · 分别看。
机制 1 · UA(User-Agent)识别
原理:请求头里的 User-Agent 字段声明访问者是谁。Google 的爬虫 UA 通常长这样:
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Bing 爬虫、百度爬虫、Facebook / Twitter 的抓取器、广告平台的审核 bot 各自有独特的 UA 字符串。服务器比对 UA · 命中爬虫特征就返回 A 内容 · 否则返回 B 内容。
局限:UA 可以被伪造。任何脚本 / 浏览器插件 / curl 一行命令都能改 UA。所以现代反 cloak 检测里 · 仅靠 UA 判断已经不够。
机制 2 · IP 识别
原理:Google / Bing / Facebook 这类大平台的爬虫和审核系统 · IP 段是相对固定的(有公开的 IP 范围文档)。服务器拿到请求 IP · 反查 ASN 或者匹配 IP 段 · 判断是不是来自搜索引擎 / 广告平台。
典型 IP 段:
- Google 爬虫 IP 段:公开在 Google 官方文档
- Facebook 抓取器:公开在 Facebook Developer 文档
- Bing / Yandex / DuckDuckGo:各自公开
优势:IP 相对难伪造(需要真的从这些 IP 段发请求)· 判断准确度比 UA 高很多。
局限:
- 平台会不定期扩展 IP 段 · 服务器端 IP 库需要持续维护
- 平台也可能用"隐身爬虫"(从数据中心 IP 或者住宅 IP 发请求 · 不带 Googlebot UA) · IP 识别就失效
- 有些高级反 cloak 系统会用用户设备真机做检查(而不是从数据中心)· 这就完全绕开 IP 识别
机制 3 · Referer 识别
原理:请求头的 Referer 字段声明访问者从哪个页面跳转来。服务器判断 referer 是否来自搜索引擎结果页(SERP) / 广告点击 / 直接访问。
典型逻辑:
if referer contains "google.com/search" or "bing.com/search":
→ 来自 SERP · 可能是真实用户 · 或者可能是审核人员在检查
elif referer contains 广告平台的点击 URL:
→ 来自广告点击 · 一定是真实转化流量(如果不是审核)
elif referer is empty or direct:
→ 直接访问 · 可能是爬虫 · 也可能是真实用户
用途场景:广告平台审核员经常会模拟广告点击去访问 landing page 检查合规。referer 会带广告平台的痕迹 · cloak 系统识别出来后返回合规版页面。
局限:referer 可以被清除 / 伪造。用 Playwright 或者 puppeteer 自动化 · 能完全控制 referer 字段。
机制 4 · JS 指纹识别
原理:服务器先返回一段 JavaScript · 让浏览器执行 · 收集浏览器指纹(WebGL / Canvas / 字体列表 / 时区 / 语言 / 分辨率 / 硬件并发数等)。真实浏览器会有完整的指纹 · 无头浏览器(headless Chrome / Puppeteer / Selenium)的指纹有明显特征。
判断依据:
- 无头浏览器的
navigator.webdriver属性通常为true(虽然可以被覆盖) - 缺少某些"真人浏览器才有"的 API(比如
Notification.permission状态、PermissionsAPI 行为) - Canvas 渲染像素级差异 —— 无头浏览器往往有固定的 canvas 指纹
- 鼠标 / 键盘事件的有无(爬虫通常没有真实用户交互事件)
用途场景:高级反 cloak 系统会派"真机爬虫" —— 真实设备 + 真实浏览器 + 模拟真人交互 —— 去访问 landing page。JS 指纹这一层是识别这类爬虫的最后手段(因为 UA / IP / referer 都已经"看起来像真人")。
技术演进:
- 2018 年之前:UA + IP 就够
- 2018-2021:加了 JS 指纹层
- 2021 之后:大厂反 cloak 用机器学习模型综合所有信号(UA / IP / referer / JS 指纹 / 鼠标轨迹 / 网络时序) · 单一维度伪造已经没意义
机制 5 · 综合信号 / ML 判断
原理:把上面 4 种信号都收集起来 · 训练一个二分类模型判断"这次访问是爬虫还是真人"。这是当前(2026)大平台反 cloak 的主流做法。
平台端能拿到的信号:
- 上面 4 种(UA / IP / referer / JS 指纹)
- 网络时序(TCP RTT / TLS 握手参数 / HTTP/2 帧顺序)· 不同客户端有细微差异
- 行为特征(鼠标轨迹 / 滚动模式 / 停留时间 / 点击热点)
- 历史数据(这个 IP / 这个设备指纹之前访问过多少 landing page · 有没有异常模式)
Cloak 系统的应对:
- 也用 ML 模型判断"当前访问者是不是审核 bot"
- 用大量"真实用户流量"训练自己的判断模型
- 但攻防不对等 —— 大平台有海量真实用户 + 审核数据 · cloak 系统的训练数据长期少一个数量级
这个演进方向决定了一件事:单纯技术层面的 cloak · 长期是打不过大平台的。cloak 之所以还能用 · 主要是因为大平台的执行成本 —— 平台不可能对每个 landing page 都用最重的检测(那样服务器成本受不了) · 所以大部分 cloak 只面对中等强度的检测 · 就能维持运转。
平台端的反 cloak 检测(以 Google 为例)
Google 是反 cloak 投入最重的平台 · 也是公开信息最多的。这一节以 Google 为例讲平台反 cloak 的思路(其他平台原理类似)。
层 1 · Fetch as Google 的双爬虫
Google 有两套爬虫机器人:
- 公开的 Googlebot:UA 标准 · IP 段公开 · 会被 robots.txt 拦
- 隐身爬虫:UA 伪装成普通 Chrome · IP 从家庭宽带 / 移动运营商发起 · 不受 robots.txt 限制
隐身爬虫定期抓同一页面 · 跟公开 Googlebot 的抓取结果对比。差异过大 · 判定为 cloaking。
层 2 · Chrome 用户数据回流
Chrome(桌面 + Android)会采样式上报用户实际看到的页面 DOM 结构 · 用于:
- Search 质量评估
- 反 spam / 反 cloak
- 内容更新监测
Cloak 系统骗不了这一层 —— 因为数据来源是真实用户设备 · 不是 Google 服务器发的请求。
层 3 · 人工审核
Google 有专门的 Search Quality Rater 团队(公开的 Quality Rater Guidelines 长达 170+ 页) · 对可疑站点做人工检查。
人工审核员用普通浏览器访问 · cloak 系统很难识别(因为看起来完全就是真人访问)。这一层的检测精度极高 · 但成本也高 · 主要用在已经被自动化标记的可疑站点上。
层 4 · Manual Action(人工惩罚)
Google 判定 cloaking 后 · 通常会:
- 单页 / 整站的 manual action(在 Search Console 里能看到)
- 严重的直接从索引移除
- 域名进入内部黑名单 · 后续同一注册人的新域名也受影响
被 manual action 之后 · 玩家可以提交 reconsideration request · 但通过率极低 · 一次 cloaking 违规通常意味着这个域名后续很难再在 Google 拿到流量 —— 大部分玩家实操里直接换域名重开更省事。
层 5 · 广告平台联动
Google Ads 和 Google Search 数据打通。站点在 Search 端被判 cloaking · Google Ads 上的广告账户也可能被封(反之亦然)。这一联动让"用另一个身份重新起号"的成本大幅提高。
合规灰产边界 · 哪些 cloak 是合规的 · 哪些一定违规
不同 cloak 用途的合规性差异很大。这里做一个中性分类。
明确合规的场景
- 地域 / 语言分发:按 IP 地域返回不同货币 / 语言版本(Google 明说不算 cloaking)
- 设备分发:手机端 vs 桌面端不同 layout(响应式设计本质就是这个)
- A / B 测试:公开的分流逻辑、测试周期合理、爬虫和用户走同一分流规则
- 付费内容 paywall:登录用户看完整内容 · 未登录看摘要(Google 提供 Structured Data for Paywall · 显式声明这个行为)
- 个性化推荐:根据用户历史行为推不同内容(前提是不做"爬虫看 A 用户看 B"的二元切换)
明确违规的场景
- 给爬虫看纯文本 SEO 优化版 · 给用户看 popup + 联盟链接堆积
- 给广告平台审核看合规健康博客 · 给用户看赌博 / 减肥推广页
- 给爬虫堆关键词 · 给用户看图片(旧时代的 "白字白底"变种)
- 门户站的 doorway pages(纯为爬虫生成的中间页 · 用户访问立即 302 跳转)
边界模糊的场景(讨论中 · 各方定性不同)
- 付费墙 vs cloaking:有些付费媒体给爬虫看完整文章 · 给用户看付费墙 —— Google 通过 Structured Data 允许这种做法 · 但如果你不用官方 structured data · 而是自己 IP 判断 · 就落入灰色
- 内容多样化 vs cloaking:如果同一个 URL 每次访问显示不同的推荐内容(比如个性化推荐) · 严格来说也是"服务器返回不同内容" · 但 Google 不视为 cloaking
- 地理定价 vs 价格歧视:美国 IP 看 $99 · 欧洲 IP 看 €89 · Google 允许;但如果只对爬虫报低价、对用户报高价 · 就变成 cloaking
边界模糊场景的行业通用判断标准:
- 触发条件是否公开(如果算法可以被文档化 · 通常合规)
- 是否针对搜索引擎爬虫特殊处理(这是核心红线 · 有就违规)
- 用户体验是否被欺骗(用户从 SERP 进来 · 看到的内容跟 SERP snippet 严重不符 · 就是欺骗)
深入阅读
- CPA / CPS / CPL 是什么 · 联盟营销到底怎么赚钱(2026 入门教程+平台合集) — 联盟场景下 cloak 常见的动机
- 联盟营销最常见的合规问题 — cloak 属于哪一类合规风险 / 平台端怎么处理
- Postback / S2S 追踪对接 — 追踪基础设施(部分场景跟 cloak 系统相邻)
- 想做 CPA 薅羊毛 · 全套工具怎么配 · 3 档预算方案 — 从联盟网络到打码 · 6 层 stack 逐层挑家
想试试 dogesms
搞海外 SEO / 联盟营销 · 常需要注册各类海外平台账号(SEO 工具 / 广告后台 / 追踪 SaaS / 联盟网络)· 每个后台独立号能避免账户关联。dogesms 承接号码验证这一层:
- 一次性接码 · 注册 SaaS / 广告平台 / 联盟后台 · 一次性拿码就走
- 租号服务 · 需要长期号(WhatsApp / Telegram / TikTok 主号)· 号长期独占
覆盖 60+ 国家。进 dogesms dashboard 直接选号。TG 频道 @dogesms_official 有做灰白帽 SEO / 联盟营销的用户 · cloak / tracker / 号池的坑基本都聊过。