防禦前沿網絡模型：Cloudflare 的零號客户架構

幾周前，Cloudflare 在關於 Project Glasswing 的文章中探討了將前沿網絡模型應用於自身代碼時的發現，並提出了一個核心觀點：圍繞漏洞的架構比補丁速度更重要。該觀點引起了廣泛共鳴，在與眾多 CISO 和安全團隊的交流中，常見問題集中於實際架構、監控重點、起步方式以及 Cloudflare 如何提供幫助。

需要明確的是，下文描述的架構幾乎完全基於 Cloudflare 自身產品構建，因為 Cloudflare 安全團隊是其安全產品的零號客户。該棧已部署於代碼、員工和麪向客户的應用之前。如果您是 Cloudflare 客户，可立即使用所有層級；如果不是，相關原則仍適用於您現有的技術棧。

前沿網絡模型帶來的實際變化

如 Mythos 這樣的前沿模型改變了攻擊者的時間線：它能更快發現漏洞、推理利用鏈並生成有效 PoC。雖然攻擊的形態（偵察、初始訪問、橫向移動、持久化、數據竊取）未變，但速度和規模顯著不同。針對開放網絡，模型能快速發現並利用低 hanging fruit；對加固目標，它仍需探測和適應，且往往產生比人類操作員更多的噪聲。

發現、利用鏈構建和 PoC 生成過去是生產有效攻擊的門檻，前沿模型在更短時間內完成這三步，使原本緩慢、有條不紊的工作變得快速且不加區分。

AI 加速了 Cloudflare 及許多公司的代碼交付速度，但安全團隊的工作並未同步壓縮。攻擊者只需一個入口，而安全團隊需發現並封堵所有入口。編寫修復、回退並在不破壞周圍代碼的情況下發布，受限於 AI 無法消除的約束——我們曾讓 AI 編碼助手針對自身漏洞編寫補丁，結果部分補丁修復了原漏洞卻悄悄破壞了其他依賴。

隨着這些模型能力提升，威脅角度上我們主要關注三件事，每一件都塑造了下文將闡述的架構。

第一是發現速度。前沿模型能輕鬆搜索大量公開代碼，包括許多公司依賴的開源庫。這並不意味着庫中每個 bug 都可利用，但流行的開源庫和框架為攻擊者提供了可大規模研究的共享表面。當存在真實、可達的漏洞時，模型能比維護者和防禦者更快發現、推理並生成變種 PoC。漏洞發現與防禦者知曉之間的時間差最令人擔憂——如果您不主動用這些模型測試自己的代碼，很可能其他人正在這麼做。

第二是利用量和適應性。模型可生成數千個同源利用變體並同步偵察。大量變體給攻擊者帶來優勢，但未必能繞過基於簽名的檢測——許多變體共享相同底層簽名。適應性是關鍵：模型會探測、學習被攔截的模式，並重寫載荷以繞過規則。

第三是漏洞最終被利用時的後果。沒有架構能攔截一切。我們自問：在阻止措施介入前，攻擊者憑一個身份、一條路徑或一個憑據能到達何處？如果答案是“任意位置”，那麼漏洞本身從來不是問題，圍繞漏洞的架構才是。

Cloudflare 的超能力：可見性

我們掌握全球約五分之一的 web 流量，實時獲知載荷如何變異、模式如何流行、攻擊工具如何移動。兩個團隊將這種可見性轉化為防禦：

Cloudforce One 是我們的威脅情報、研究和運營團隊，位於安全組織內，將網絡信息轉化為可行動的情報，如追蹤的對手、新興活動和 IOC。過去，威脅知識從報告到防禦的延遲很長；我們通過使 Cloudflare 客户能直接在 WAF 中使用 Cloudforce One 情報來縮短這一差距。

另一個團隊負責 WAF 引擎的實際檢測：管理規則集、WAF Attack Score 背後的機器學習，以及有時在 CVE 公開前就已發佈規則的能力。該團隊全球分佈、行動迅速，一旦攻擊 PoC 公開，數小時內即可發佈規則。檢測部署後，30 秒內覆蓋整個網絡及所有 Cloudflare 客户。React2Shell 是近期例子：一個託管 WAF 規則在官方公告發布前數小時已保護我們自身及其他客户。

評分層、應用前防禦和漏洞遏制都基於這兩個團隊所見。

評分勝於簽名

基於簽名的防禦適用於過去新奇利用稀缺、變種緩慢的世界。Cloudflare 傳統上從新鮮 PoC 到部署規則需 12 小時，但前沿模型的出現使這不再足夠。檢測需在 CVE 發現前就位，因此我們將基於機器學習的檢測前置。

該模型訓練於大量歷史攻擊流量，能捕捉未知漏洞變種。新的 SQL 注入或遠程執行鏈幾乎都是模型見過的攻擊形狀的重新組合。我們對每個請求運行模型，根據與底層形狀的相似度賦予 1-99 的 WAF Attack Score，分數越低處理越激進。類似地，AI Security for Apps 對 AI 提示打分。

圍繞漏洞的架構

這些能力只有在堆疊於應用前才重要。縱深防禦的第一層是 WAF：匹配已知不良模式者直接丟棄，清除明顯流量，讓後續層級專注於餘量。

在 API 表面，通過 API Shield 運行正向安全模型：描述每個 API 的有效請求（通過自身定義或流量學習），不符合者無法通過。這抵消了前沿 AI 的優勢：僅允許驗證流量，故生成大量變種也無法繞過。

Bot Management 在模型構建地圖前捕獲探測流量：對每個請求評分自動可能性，使用網絡級信號。攻擊只有在找到軟肋時才會成功。

Zero Trust Network Access 用於每個內部應用：隱式信任被基於身份的顯式策略取代。當工程師部署配置錯誤的工具時，暴露僅限於該工具本身。我們還構建了 Require Access Protection，確保新部署或配置錯誤的應用在訪問策略就位前不可達。

IdP Federation 使每個 Cloudflare 賬户的安全默認設置保持一致：身份提供商一次性配置，新賬户自動獲得 SSO，接收方 IdP 連接只讀，Access 策略仍在各自賬户中評估身份。

MCP Server Portal 為團隊提供將 AI 代理連接到企業系統的受控方式：代理訪問集中管理的 MCP 服務器，所有行為被記錄。

AI Gateway 運行於內部 AI 工具前，類似 AI Security for Apps 用於面向客户的 AI 功能，提供相同評分和可見性。內部可見性比攔截更有用，因為需瞭解工程師構建內容後才能制定有意義策略。

團隊可以從何處開始

前沿模型可幫助攻擊者發現漏洞、適應載荷並加速，但它們仍需通過您部署在應用前的分層防禦。團隊應從以下方面開始：

• 在面向公眾的應用前部署檢測。
• 定義有效 API 流量。
• 使用機器人檢測限制自動探測。
• 在內部工具可達前要求身份和訪問策略。
• 對於 AI 和智能體系統：通過網關路由模型流量；通過批准的 MCP 服務器連接代理；記錄其行為。

目標是確保當一層失守時，下一層能限制攻擊者可達的範圍。