アプリ向けAIセキュリティが一般提供開始
Cloudflareは、AI搭載アプリケーション向けのセキュリティサービス「AI Security for Apps」の一般提供を開始し、AIエンドポイントの検出機能を全顧客に無料提供するとともに、IBMやWizとの連携を拡大した。
キーポイント
AI Security for Appsの一般提供開始
AI搭載アプリケーションに対する脅威の検出・緩和を目的としたサービスが正式に利用可能となった。
AIエンドポイント検出機能の無料化
Free、Pro、Businessプランを含む全Cloudflare顧客に対し、AIエンドポイントの検出機能を無料で提供する。
主要企業との連携拡大
IBMはクラウド顧客向けAIセキュリティ提供にCloudflareを選択し、Wizとは相互顧客のAIセキュリティ態勢を統合的に可視化する連携を発表した。
AIアプリケーション特有の攻撃面への対応
自然言語入力と確率的な出力を持つAIアプリケーションは、プロンプトインジェクションや情報漏洩など従来とは異なるリスクに直面しており、本サービスはその対策を目的としている。
AI Security for Appsの検出機能
AI Security for Appsは、AI搭載エンドポイントへのトラフィックに対して常時オンで検出を行い、プロンプトインジェクション、PII漏洩、機密・有害トピックを複数の検出モジュールでチェックする。
カスタムトピック検出の新機能
GA版で追加されたカスタムトピック機能により、企業は自社の禁止事項(金融商品、患者データ、競合製品など)を定義し、プロンプトと出力の関連性スコアを基にログ取得やブロックが可能になる。
カスタムプロンプト抽出の一般提供
AI Security for Appsでは、カスタムJSONPath式を定義してプロンプトの正確な位置を指定できるようになり、誤検知を減らし検出精度を向上させます。
影響分析・編集コメントを表示
影響分析
本発表は、AIアプリケーションの本格的な普及段階において、セキュリティ基盤の整備が急務であることを示している。主要クラウドプロバイダーとの連携により、企業のAI導入におけるセキュリティハードルを下げ、市場拡大を後押しする可能性が高い。
編集コメント
AIアプリケーションのセキュリティが製品レベルで整備され始めたことを示す重要なマイルストーン。無料提供による普及促進と主要企業連携の二段構えで、市場形成をリードしようとする戦略が見える。
タイトル: AI Security for Appsが一般提供を開始
CloudflareのAI Security for Appsは、AI搭載アプリケーションに対する脅威を検出・軽減します。本日、当機能の一般提供を開始したことを発表します。
カスタムトピック検出などの新機能を備えてリリースし、すべてのCloudflareお客様(Free、Pro、Businessプランを含む)に対してAIエンドポイントディスカバリーを無償提供します。これにより、インターネットに接続されたアプリケーション全体におけるAIの導入状況を誰もが可視化できるようになります。
また、IBMとの連携拡大を発表します。IBMは、自社のクラウド顧客へのAIセキュリティ提供にCloudflareを選定しました。さらにWizとも提携し、両社の共通顧客がAIセキュリティの状況を統一的に把握できるようにします。
新たな種類の攻撃対象領域
従来のWebアプリケーションには、残高照会や振込といった明確に定義された操作があります。これらのやり取りを保護するため、決定論的なルールを作成できます。
AI搭載アプリケーションとエージェントはこれとは異なります。自然言語を受け入れ、予測不可能な応答を生成します。入力と出力が確率的であるため、許可または拒否する固定の操作セットが存在しません。攻撃者は大規模言語モデル(LLM)を操作して、不正なアクションを実行したり機密データを漏えいさせたりすることが可能です。プロンプトインジェクション、機密情報開示、無制限な消費は、OWASP Top 10 for LLM Applicationsに記載されているリスクのほんの一例です。
これらのリスクは、AIアプリケーションがエージェント化するとさらに深刻化します。AIがツール呼び出し(返金処理、アカウント変更、割引提供、顧客データアクセスなど)へのアクセス権を得ると、単一の悪意あるプロンプトが即座にセキュリティインシデントに繋がります。
お客様は直面している課題を伝えてくれています。「Newfold Digitalのチームの大半は独自の生成AI(Generative AI)保護策を導入していますが、皆が急速に革新を進めているため、遅かれ早かれ必ずギャップが生じるでしょう」と、Bluehost、HostGator、Domain.comを運営するNewfold Digitalのプリンシパルシステムアーキテクト、Rick Radinger氏は述べています。
AI Security for Appsの機能
この課題に対処するため、AI Security for Appsを構築しました。これは、サードパーティのモデルを使用している場合でも独自にホスティングしている場合でも、Cloudflareのリバースプロキシの一部として、AI搭載アプリケーションの前面に配置されます。以下のことを支援します:(1) Webプロパティ全体のAI搭載アプリを発見、(2) それらのエンドポイントに対する悪意のあるまたはポリシー違反の動作を検出、(3) 使い慣れたWAFルールビルダーによる脅威の軽減。
ディスカバリー ― 今ならすべてのお客様に無償で
LLM搭載アプリケーションを保護するには、まずその使用場所を把握する必要があります。特にLLM市場が進化し、開発者がモデルやプロバイダーを切り替えていく中で、自社アプリ全体のAI導入状況を完全に把握できていないセキュリティチームからの声をよく耳にします。
AI Security for Appsは、ホスト場所やモデルに関わらず、Webプロパティ全体のLLM搭載エンドポイントを自動的に識別します。本日より、この機能はFree、Pro、Businessプランを含むすべてのCloudflareお客様に無償で提供されます。
これらのエンドポイントを自動発見するには、/chat/completionsのような一般的なパスパターンとの一致以上のものが必要です。多くのAI搭載アプリケーションにはチャットインターフェースがありません。製品検索、不動産評価ツール、レコメンデーションエンジンなどが考えられます。当社は、エンドポイントの名称ではなく、その動作を分析する検出システムを構築しました。AI搭載エンドポイントを確実に識別するには、十分な有効なトラフィックが必要です。
発見されたAI搭載エンドポイントは、[セキュリティ] → [Webアセット] の下に cf-llm とラベル付けされて表示されます。Freeプランのお客様の場合、ディスカバリーページに初めて移動した時にエンドポイントディスカバリーが開始されます。有料プランのお客様の場合、定期的にバックグラウンドで自動的にディスカバリーが実行されます。AI搭載エンドポイントが発見された場合、すぐに確認することができます。
検出
AI Security for Appsの検出機能は、AI搭載エンドポイントへのトラフィックに対して常時オン方式を採用しています。各プロンプトは、プロンプトインジェクション、個人識別情報(PII)の露出、機密または有害なトピックに関する複数の検出モジュールを通じて実行されます。結果(プロンプトが悪意のあるものか否か)はメタデータとして付与され、カスタムWAFルールでポリシーを施行する際に使用できます。当社は、Webの約20%のトラフィックを処理するグローバルネットワークを活用し、新たな攻撃パターンを数百万のサイトで特定する方法を継続的に探求しています。
一般提供の新機能:カスタムトピック検出
本製品には、一般的な脅威(プロンプトインジェクション、PII抽出、有害トピック)向けの組み込み検出機能が備わっています。しかし、禁止事項の定義は企業によって異なります。金融サービス企業は特定の有価証券に関する議論を検出する必要があるかもしれません。医療企業は患者データに触れる会話にフラグを立てる必要があるかもしれません。小売企業は顧客が競合製品について質問しているタイミングを知りたいと思うかもしれません。
新しいカスタムトピック機能では、これらのカテゴリを定義できます。トピックを指定すると、当社がプロンプトを検査し、ログ記録、ブロック、または任意の方法で処理に使用できる関連性スコアを出力します。ユースケースに柔軟に対応できる拡張可能なツールの構築を目指しています。
一般提供の新機能:カスタムプロンプト抽出
AI Security for Appsは、安全でないプロンプトがインフラストラクチャに到達する前にガードレールを施行します。正確な検出とリアルタイム保護を提供するには、まずリクエストペイロード内のプロンプトを識別する必要があります。プロンプトはリクエストボディのどこにでも存在でき、異なるLLMプロバイダーはAPI構造を異なる方法で構成します。OpenAIと大半のプロバイダーはチャット補完に $.messages[*].content を使用します。AnthropicのバッチAPIはプロンプトを $.requests[*].params.messages[*].content 内にネストします。カスタム不動産評価ツールは $.property_description を使用するかもしれません。
標準装備で、OpenAI、Anthropic、Google Gemini、Mistral、Cohere、xAI、DeepSeekなどが使用する標準フォーマットをサポートします。既知のパターンに一致しない場合、デフォルトのセキュアな姿勢を適用し、リクエストボディ全体で検出を実行します。これにより、ペイロードに機密フィールドが含まれているがAIモデルに直接入力されない場合(例えば、実際のプロンプトと共に $.customer_name フィールドがある場合に不必要にPII検出がトリガーされるなど)、誤検知が発生する可能性があります。
間もなく、独自のJSONPath式を定義してプロンプトの正確な場所を指示できるようになります。これにより誤検知が減少し、より正確な検出が可能になります。また、時間の経過と共にアプリケーション構造に自動適応するプロンプト学習機能も構築中です。
軽減
脅威が識別・スコアリングされると、アプリケーションセキュリティの他の部分ですでに使用している同じWAFルールエンジンを使用して、ブロック、ログ記録、カスタム応答の配信が可能です。Cloudflare共有プラットフォームの強みは、AI固有のシグナルを、WAFで利用可能な数百のフィールドで表現されるリクエストに関する他のすべての情報と組み合わせられることです。プロンプトインジェクションの試行は不審です。ログインページを調査しているIPから、過去の攻撃に関連するブラウザフィンガープリントを使用し、ボットネットを介して回転しながら行われるプロンプトインジェクション試行は別次元です。AIレイヤーのみを監視するポイントソリューションでは、これらの関連性を把握できません。
この統合セキュリティレイヤーは、Newfold DigitalがAIエンドポイントを発見、ラベル付け、保護するためにまさに必要としているものだとRadinger氏は述べています:「これらの全プロジェクトでフェイルセーフとして機能させることを楽しみにしています。」
拡大するエコシステム
AI Security for Appsは、IBM Cloudとの統合を含む、Cloudflareの拡大するエコシステムを通じても利用可能になります。IBM Cloud Internet Services(CIS)を通じて、エンドユーザーは既に高度なアプリケーションセキュリティソリューションを調達し、IBM Cloudアカウントから直接管理できます。
またWizとも提携し、AI Security for AppsとWiz AI Securityを接続します。これにより、共通顧客は、クラウド内のモデル・エージェントの発見からエッジのアプリケーションレイヤーガードレールまで、AIセキュリティの状況を統合的に把握できます。
始め方
AI Security for Appsは、Cloudflareのエンタープライズ顧客向けに現在利用可能です。アカウントチームに連絡して開始するか、セルフガイドツアーで実際の製品を確認してください。
Free、Pro、Businessプランのお客様は、本日よりAIエンドポイントディスカバリー機能を使用できます。ダッシュボードにログインし、[セキュリティ] → [Webアセット] に移動して、当社が識別したエンドポイントを確認してください。近日中にすべてのプランお客様向けにAI Security for Appsの全機能を提供する予定ですので、ご注目ください。
設定の詳細については、当社のドキュメントを参照してください。
原文を表示
Cloudflare’s AI Security for Apps detects and mitigates threats to AI-powered applications. Today, we're announcing that it is generally available.
We’re shipping with new capabilities like detection for custom topics, and we're making AI endpoint discovery free for every Cloudflare customer—including those on Free, Pro, and Business plans—to give everyone visibility into where AI is deployed across their Internet-facing apps.
We're also announcing an expanded collaboration with IBM, which has chosen Cloudflare to deliver AI security to its cloud customers. And we’re partnering with Wiz to give mutual customers a unified view of their AI security posture.
A new kind of attack surface
Traditional web applications have defined operations: check a bank balance, make a transfer. You can write deterministic rules to secure those interactions.
AI-powered applications and agents are different. They accept natural language and generate unpredictable responses. There's no fixed set of operations to allow or deny, because the inputs and outputs are probabilistic. Attackers can manipulate large language models to take unauthorized actions or leak sensitive data. Prompt injection, sensitive information disclosure, and unbounded consumption are just a few of the risks cataloged in the OWASP Top 10 for LLM Applications.
These risks escalate as AI applications become agents. When an AI gains access to tool calls—processing refunds, modifying accounts, providing discounts, or accessing customer data—a single malicious prompt becomes an immediate security incident.
Customers tell us what they’re up against. "Most of Newfold Digital's teams are putting in their own Generative AI safeguards, but everybody is innovating so quickly that there are inevitably going to be some gaps eventually,” says Rick Radinger, Principal Systems Architect at Newfold Digital, which operates Bluehost, HostGator, and Domain.com.
What AI Security for Apps does
We built AI Security for Apps to address this. It sits in front of your AI-powered applications, whether you're using a third-party model or hosting your own, as part of Cloudflare's reverse proxy. It helps you (1) discover AI-powered apps across your web property, (2) detect malicious or off-policy behavior to those endpoints, and (3) mitigate threats via the familiar WAF rule builder.
image
Discovery — now free for everyone
Before you can protect your LLM-powered applications, you need to know where they're being used. We often hear from security teams who don’t have a complete picture of AI deployments across their apps, especially as the LLM market evolves and developers swap out models and providers.
AI Security for Apps automatically identifies LLM-powered endpoints across your web properties, regardless of where they’re hosted or what the model is. Starting today, this capability is free for every Cloudflare customer, including Free, Pro, and Business plans.
image
Cloudflare’s dashboard page of web assets, showing 2 example endpoints labelled as cf-llm
Discovering these endpoints automatically requires more than matching common path patterns like /chat/completions. Many AI-powered applications don't have a chat interface: think product search, property valuation tools, or recommendation engines. We built a detection system that looks at how endpoints behave, not what they're called. To confidently identify AI-powered endpoints, sufficient valid traffic is required.
AI-powered endpoints that have been discovered will be visible under Security → Web Assets, labeled as cf-llm. For customers on a Free plan, endpoint discovery is initiated when you first navigate to the Discovery page. For customers on a paid plan, discovery occurs automatically in the background on a recurring basis. If your AI-powered endpoints have been discovered, you can review them immediately.
Detection
AI Security for Apps detections follow the always-on approach for traffic to your AI-powered endpoints. Each prompt is run through multiple detection modules for prompt injection, PII exposure, and sensitive or toxic topics. The results—whether the prompt was malicious or not—are attached as metadata you can use in custom WAF rules to enforce your policies. We are continuously exploring ways to leverage our global network, which sees traffic from roughly 20% of the web, to identify new attack patterns across millions of sites before they reach yours.
image
New in GA: Custom topics detection
The product ships with built-in detection for common threats: prompt injections, PII extraction, and toxic topics. But every business has its own definition of what's off-limits. A financial services company might need to detect discussions of specific securities. A healthcare company might need to flag conversations that touch on patient data. A retailer might want to know when customers are asking about competitor products.
The new custom topics feature lets you define these categories. You specify the topic, we inspect the prompt and output a relevance score that you can use to log, block, or handle however you decide. Our goal is to build an extensible tool that flexes to your use cases.
image
Prompt relevance score inside of AI Security for Apps
New in GA: Custom prompt extraction
AI Security for Apps enforces guardrails before unsafe prompts can reach your infrastructure. To run detections accurately and provide real-time protection, we first need to identify the prompt within the request payload. Prompts can live anywhere in a request body, and different LLM providers structure their APIs differently. OpenAI and most providers use $.messages[*].content for chat completions. Anthropic's batch API nests prompts inside $.requests[*].params.messages[*].content. Your custom property valuation tool might use $.property_description.
Out of the box, we support the standard formats used by OpenAI, Anthropic, Google Gemini, Mistral, Cohere, xAI, DeepSeek, and others. When we can't match a known pattern, we apply a default-secure posture and run detection on the entire request body. This can introduce false positives when the payload contains fields that are sensitive but don't feed directly to an AI model, for example, a $.customer_name field alongside the actual prompt might trigger PII detection unnecessarily.
Soon, you'll be able to define your own JSONPath expressions to tell us exactly where to find the prompt. This will reduce false positives and lead to more accurate detections. We're also building a prompt-learning capability that will automatically adapt to your application's structure over time.
Mitigation
Once a threat is identified and scored, you can block it, log it, or deliver custom responses, using the same WAF rules engine you already use for the rest of your application security. The power of Cloudflare’s shared platform is that you can combine AI-specific signals with everything else we know about a request, represented by hundreds of fields available in the WAF. A prompt injection attempt is suspicious. A prompt injection attempt from an IP that’s been probing your login page, using a browser fingerprint associated with previous attacks, and rotating through a botnet is a different story. Point solutions that only see the AI layer can’t make these connections.
This unified security layer is exactly what they need at Newfold Digital to discover, label, and protect AI endpoints, says Radinger: “We look forward to using it across all these projects to serve as a fail-safe."
Growing ecosystem
AI Security for Applications will also be available through Cloudflare's growing ecosystem, including through integration with IBM Cloud. Through IBM Cloud Internet Services (CIS), end users can already procure advanced application security solutions and manage them directly through their IBM Cloud account.
We're also partnering with Wiz to connect AI Security for Applications with Wiz AI Security, giving mutual customers a unified view of their AI security posture, from model and agent discovery in the cloud to application-layer guardrails at the edge.
How to get started
AI Security for Apps is available now for Cloudflare’s Enterprise customers. Contact your account team to get started, or see the product in action with a self-guided tour.
If you're on a Free, Pro, or Business plan, you can use AI endpoint discovery today. Log in to your dashboard and navigate to Security → Web Assets to see which endpoints we've identified. Keep an eye out — we plan to make all AI Security for Apps capabilities available for customers on all plans soon.
For configuration details, see our documentation.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み