Launch HN：Kampala (YC W26) – 將應用程式逆向工程轉化為 API

背景

Kampala 是一款由 Zatanna 團隊開發的逆向工程工具，旨在將網站、行動裝置 App 或桌面應用程式的作業流程轉化為 AI 代理可用的 API。該工具採用中間人攻擊（MITM）代理技術，讓開發者能直接在請求層級進行自動化，避開傳統瀏覽器自動化或電腦視覺代理常見的緩慢與不穩定問題。

社群觀點

在 Hacker News 的討論中，技術實作細節與法律倫理爭議成為兩大核心焦點。針對技術層面，社群成員對 Kampala 如何處理 TLS 指紋識別與身分驗證鏈表示高度關注。Caido 的共同創辦人指出，精準模擬 TLS 指紋極其困難，因為市面上多數函式庫難以完整覆蓋所有擴展協議。對此，Kampala 開發者坦承目前在 HTTP/3 與 TCP 層級的指紋識別仍有挑戰，且暫時無法突破 SSL Pinning（憑證釘死）技術，這類限制在處理如 ChatGPT 或高度安全的行動 App 時仍是瓶頸。

部分資深開發者分享了替代方案，認為結合 Chrome 開發者工具產生的 HAR 檔案與大型語言模型（如 Claude），已能快速產出高品質的 API 文件與自動化腳本。這種「Vibe Coding」模式透過 Playwright 控制瀏覽器提取登入憑證，再轉由後端腳本直接呼叫內部 API，能以極低成本達成類似效果。然而，Kampala 團隊強調其工具的優勢在於能即時攔截流量、進行 A/B 測試並自動追蹤複雜的 Token 序列，這比手動處理 HAR 檔案更具效率，且能處理 gRPC 與 WebSocket 等非傳統 REST 協議。

最激烈的辯論圍繞在服務條款（ToS）與倫理邊界。批評者認為，Kampala 本質上是在協助使用者違反多數軟體禁止逆向工程的規定，可能面臨法律風險。有意見指出，若使用者繞過官方 App 直接操作後端，將導致開發商失去流量與獲利動機，甚至因自動化工具產生的錯誤而損害品牌聲譽。對此，開發者辯稱自動化是現代企業的剛需，且 Kampala 的初衷是協助個人優化既有工作流，而非進行大規模爬蟲。他認為網站的 ToS 往往過於寬泛且難以界定，例如自動填表擴充功能與機器人之間的界線本就模糊，只要不影響伺服器負載，直接操作網路請求與使用瀏覽器並無本質上的倫理差異。

延伸閱讀

討論中提到的相關技術工具與資源包括：

• TLS 識別工具：tls.peet.ws 與 bogdann finn 的 tls-client，用於分析與模擬 TLS 連線特徵。
• 自動化與攔截工具：intercept（基於 Chrome DevTools Protocol 的流量攔截工具）、agent-tuning（用於優化 AI 代理性能的實驗專案）。
• 逆向工程輔助：Frida 腳本（用於修補常見的 SSL Pinning 實作）、mitmproxy（開源的 MITM 代理工具，具備虛擬 Android 設備支援）。