вопрос
 

Можно-ли закриптовать shell-код который при срабатывании в браузере жертвы не палился-бы каспером?

можно...

Это конечно глупый вопрос :) но всёже я его задам

А как?

Закодируй его Начиная от javascript.encode
заканчивая просто простым пергоном скрипта в HEX типа:
<script>
var s;
s="%50,%33,%FA";
document.write(unescape(s));
</script>

Кодирую в unicode но призапуске он раскодируется и запускается и тут-то каспер собака его и палит

Это обычный shell download_exec он уже в хексе но для работы сплоита я его переколбашиваю в unicode сплой естественно ani

на метасплоите дохрена энкодеров. хоть альфанумерический ставь

все эти энкодиры каспер рюхает безпроблем

Может это подойдет
https://forum.antichat.ru/showthread.php?p=312675