2026-06-09站内改写4 分钟阅读更新: 2026-06-09

防御前沿网络模型：Cloudflare 的零号客户架构

Cloudflare 分享其应对前沿 AI 模型威胁的分层安全架构，强调围绕漏洞的架构比补丁速度更重要，并展示了如何利用自身产品构建防御体系。

来源Cloudflare AI Blog作者: Rohit Chenna Reddy

文章情报

工程师进阶

要点

前沿模型加速了漏洞发现、利用链构建和 PoC 生成，防御需关注发现速度、利用量/适应性及漏洞利用后的影响。
Cloudflare 利用全球网络可见性，通过 Cloudforce One 威胁情报和 WAF 团队快速响应。
基于得分的检测（如 WAF Attack Score）优于传统签名，可捕获未知变种。
分层架构包括 WAF、API Shield、Bot Management、Zero Trust 网络访问等，并针对 AI 系统提供 MCP Server Portal 和 AI Gateway。

为什么重要

这条新闻值得关注，因为前沿模型加速了漏洞发现、利用链构建和 PoC 生成，防御需关注发现速度、利用量/适应性及漏洞利用后的影响。

技术影响

可能影响模型选型、推理成本、产品能力和评测基准。

几周前，Cloudflare 在关于 Project Glasswing 的文章中探讨了将前沿网络模型应用于自身代码时的发现，并提出了一个核心观点：围绕漏洞的架构比补丁速度更重要。该观点引起了广泛共鸣，在与众多 CISO 和安全团队的交流中，常见问题集中于实际架构、监控重点、起步方式以及 Cloudflare 如何提供帮助。

需要明确的是，下文描述的架构几乎完全基于 Cloudflare 自身产品构建，因为 Cloudflare 安全团队是其安全产品的零号客户。该栈已部署于代码、员工和面向客户的应用之前。如果您是 Cloudflare 客户，可立即使用所有层级；如果不是，相关原则仍适用于您现有的技术栈。

前沿网络模型带来的实际变化

如 Mythos 这样的前沿模型改变了攻击者的时间线：它能更快发现漏洞、推理利用链并生成有效 PoC。虽然攻击的形态（侦察、初始访问、横向移动、持久化、数据窃取）未变，但速度和规模显著不同。针对开放网络，模型能快速发现并利用低 hanging fruit；对加固目标，它仍需探测和适应，且往往产生比人类操作员更多的噪声。

发现、利用链构建和 PoC 生成过去是生产有效攻击的门槛，前沿模型在更短时间内完成这三步，使原本缓慢、有条不紊的工作变得快速且不加区分。

AI 加速了 Cloudflare 及许多公司的代码交付速度，但安全团队的工作并未同步压缩。攻击者只需一个入口，而安全团队需发现并封堵所有入口。编写修复、回退并在不破坏周围代码的情况下发布，受限于 AI 无法消除的约束——我们曾让 AI 编码助手针对自身漏洞编写补丁，结果部分补丁修复了原漏洞却悄悄破坏了其他依赖。

随着这些模型能力提升，威胁角度上我们主要关注三件事，每一件都塑造了下文将阐述的架构。

第一是发现速度。前沿模型能轻松搜索大量公开代码，包括许多公司依赖的开源库。这并不意味着库中每个 bug 都可利用，但流行的开源库和框架为攻击者提供了可大规模研究的共享表面。当存在真实、可达的漏洞时，模型能比维护者和防御者更快发现、推理并生成变种 PoC。漏洞发现与防御者知晓之间的时间差最令人担忧——如果您不主动用这些模型测试自己的代码，很可能其他人正在这么做。

第二是利用量和适应性。模型可生成数千个同源利用变体并同步侦察。大量变体给攻击者带来优势，但未必能绕过基于签名的检测——许多变体共享相同底层签名。适应性是关键：模型会探测、学习被拦截的模式，并重写载荷以绕过规则。

第三是漏洞最终被利用时的后果。没有架构能拦截一切。我们自问：在阻止措施介入前，攻击者凭一个身份、一条路径或一个凭据能到达何处？如果答案是“任意位置”，那么漏洞本身从来不是问题，围绕漏洞的架构才是。

Cloudflare 的超能力：可见性

我们掌握全球约五分之一的 web 流量，实时获知载荷如何变异、模式如何流行、攻击工具如何移动。两个团队将这种可见性转化为防御：

Cloudforce One 是我们的威胁情报、研究和运营团队，位于安全组织内，将网络信息转化为可行动的情报，如追踪的对手、新兴活动和 IOC。过去，威胁知识从报告到防御的延迟很长；我们通过使 Cloudflare 客户能直接在 WAF 中使用 Cloudforce One 情报来缩短这一差距。

另一个团队负责 WAF 引擎的实际检测：管理规则集、WAF Attack Score 背后的机器学习，以及有时在 CVE 公开前就已发布规则的能力。该团队全球分布、行动迅速，一旦攻击 PoC 公开，数小时内即可发布规则。检测部署后，30 秒内覆盖整个网络及所有 Cloudflare 客户。React2Shell 是近期例子：一个托管 WAF 规则在官方公告发布前数小时已保护我们自身及其他客户。

评分层、应用前防御和漏洞遏制都基于这两个团队所见。

评分胜于签名

基于签名的防御适用于过去新奇利用稀缺、变种缓慢的世界。Cloudflare 传统上从新鲜 PoC 到部署规则需 12 小时，但前沿模型的出现使这不再足够。检测需在 CVE 发现前就位，因此我们将基于机器学习的检测前置。

该模型训练于大量历史攻击流量，能捕捉未知漏洞变种。新的 SQL 注入或远程执行链几乎都是模型见过的攻击形状的重新组合。我们对每个请求运行模型，根据与底层形状的相似度赋予 1-99 的 WAF Attack Score，分数越低处理越激进。类似地，AI Security for Apps 对 AI 提示打分。

围绕漏洞的架构

这些能力只有在堆叠于应用前才重要。纵深防御的第一层是 WAF：匹配已知不良模式者直接丢弃，清除明显流量，让后续层级专注于余量。

在 API 表面，通过 API Shield 运行正向安全模型：描述每个 API 的有效请求（通过自身定义或流量学习），不符合者无法通过。这抵消了前沿 AI 的优势：仅允许验证流量，故生成大量变种也无法绕过。

Bot Management 在模型构建地图前捕获探测流量：对每个请求评分自动可能性，使用网络级信号。攻击只有在找到软肋时才会成功。

Zero Trust Network Access 用于每个内部应用：隐式信任被基于身份的显式策略取代。当工程师部署配置错误的工具时，暴露仅限于该工具本身。我们还构建了 Require Access Protection，确保新部署或配置错误的应用在访问策略就位前不可达。

IdP Federation 使每个 Cloudflare 账户的安全默认设置保持一致：身份提供商一次性配置，新账户自动获得 SSO，接收方 IdP 连接只读，Access 策略仍在各自账户中评估身份。

MCP Server Portal 为团队提供将 AI 代理连接到企业系统的受控方式：代理访问集中管理的 MCP 服务器，所有行为被记录。

AI Gateway 运行于内部 AI 工具前，类似 AI Security for Apps 用于面向客户的 AI 功能，提供相同评分和可见性。内部可见性比拦截更有用，因为需了解工程师构建内容后才能制定有意义策略。

团队可以从何处开始

前沿模型可帮助攻击者发现漏洞、适应载荷并加速，但它们仍需通过您部署在应用前的分层防御。团队应从以下方面开始：

在面向公众的应用前部署检测。
定义有效 API 流量。
使用机器人检测限制自动探测。
在内部工具可达前要求身份和访问策略。
对于 AI 和智能体系统：通过网关路由模型流量；通过批准的 MCP 服务器连接代理；记录其行为。

目标是确保当一层失守时，下一层能限制攻击者可达的范围。