DocsDigest
Back to listLanguage: JA
OpenAICloudflareMar 11, 2026, 1:00 PM

AI Security for Apps is now generally available

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

AI Security for Apps is now generally available

ai-securityllmendpoint-discoverywafprompt-injectioncustom-topicsibmwiz

Key Points

  • GA release with free AI endpoint discovery
  • Custom topics and wider prompt extraction support
  • WAF-based mitigation plus IBM and Wiz integrations

Summary

Cloudflare’s AI Security for Apps is generally available. It detects and mitigates threats to AI-powered endpoints (prompt injection, PII exposure, toxic topics) and ships with new features—custom topics detection and expanded prompt extraction—while making AI endpoint discovery free for all Cloudflare customers.

Key Points

  • GA release with always-on detection for AI-powered endpoints (prompt injection, PII, sensitive/toxic topics) and metadata attached to requests for WAF rules.
  • AI endpoint discovery is free for Free, Pro, and Business plans; discovered endpoints appear under Security → Web Assets (labelled cf-llm). Free plan discovery starts when you visit the Discovery page; paid plans run automatic recurring discovery.
  • New GA capabilities:
    • Custom topics: define business-specific categories and get a relevance score to log, block, or handle matches.
    • Expanded prompt extraction: built-in support for common provider formats (OpenAI, Anthropic, Google Gemini, Mistral, Cohere, xAI, DeepSeek); default-secure posture when unknown.
    • Upcoming: custom JSONPath to locate prompts and a prompt-learning feature to reduce false positives.
  • Mitigation uses Cloudflare’s WAF rule engine—block, log, or return custom responses—and lets you combine AI-specific signals with existing request context (IP, fingerprints, bot signals) for richer decisions.
  • Integrations: now available via IBM Cloud Internet Services and integrated with Wiz AI Security for unified posture views.

Actionable next steps for engineers

  • Log in to the dashboard and review Security → Web Assets to find discovered AI endpoints.
  • Define custom topics relevant to your business and create WAF rules that use detection metadata to block or log violations.
  • Verify prompt extraction for your application payloads; plan to add JSONPath expressions when available to reduce false positives.
  • For full product access and advanced configuration, contact your Cloudflare account team (Enterprise); Free/Pro/Business users can use discovery today.

References

See Cloudflare documentation for configuration details and the self-guided product tour for a demo.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

AI Security for Apps が一般提供になりました

公開日: 2026-03-11
著者: Liam Reese, Zhiyuan Zheng, Catherine Newcomb
読了時間: 約5分
この記事は Français, 한국어, Español, Рyсский, Nederlands, Deutsch でも利用可能です。

概要

Cloudflare の AI Security for Apps は、AI を利用するアプリケーションに対する脅威を検出・緩和するソリューションです。本日この製品が一般提供(GA)になったことを発表します。GA リリースでは、カスタムトピック検出などの新機能を提供するとともに、AI エンドポイントの検出をすべての Cloudflare 顧客(Free、Pro、Business 含む)向けに無償化しました。これにより、インターネットに公開されたアプリケーション上で AI がどこに使われているかを可視化できます。さらに、IBM との協業を拡大し、IBM のクラウド顧客へ AI セキュリティを提供することになりました。Wiz との連携により、共通顧客には AI セキュリティの姿勢を一元的に見る仕組みを提供します。

新しい攻撃対象面

従来のウェブアプリケーションは「残高を確認する」「送金する」など定義済みの操作があり、決定論的なルールで保護できます。AI を利用したアプリやエージェントは異なります。自然言語を受け取り、確率的に予測された応答を返すため、許可/拒否できる固定の操作集合が存在しません。攻撃者は LLM を操作して不正な行動を実行させたり、機密データを漏洩させたりできます。プロンプトインジェクション、機密情報の露見、無制限の消費などは、OWASP Top 10 for LLM Applications に列挙されたリスクの一部です。

これらのリスクは AI がエージェント化するほど深刻になります。AI がツール呼び出し(返金処理、アカウント変更、割引適用、顧客データアクセスなど)にアクセスすると、単一の悪意あるプロンプトが即座にセキュリティインシデントになります。

Newfold Digital の Principal Systems Architect、Rick Radinger は次のように述べています: 「Newfold Digital のほとんどのチームは独自にジェネレーティブAIの保護策を導入していますが、イノベーションのスピードが速いため、いずれギャップが生じるのは避けられません。」

AI Security for Apps が行うこと

AI Security for Apps はこの課題に対応するために設計され、Cloudflare のリバースプロキシの一部として AI を利用するアプリケーション(サードパーティのモデルを使う場合も自前でホストする場合も)に配置されます。主な機能は次のとおりです。

  • AI を利用したアプリケーションを Web プロパティ上で検出する
  • そのエンドポイントに対する悪意のある/ポリシー違反の振る舞いを検出する
  • 親しみのある WAF ルールビルダーで脅威を緩和する

発見(Discovery) — 全ユーザー向けに無償化

保護を始める前に、どこで LLM が使われているかを把握する必要があります。セキュリティチームからは、特にモデルやプロバイダを頻繁に差し替える状況で、AI 展開の全体像が把握できていないという声をよく聞きます。

AI Security for Apps は、ホスティング先や使用モデルにかかわらず、Web プロパティ上の LLM を利用するエンドポイントを自動で識別します。本日からこの機能は Free、Pro、Business を含むすべての Cloudflare 顧客に対して無償です。

多くの AI エンドポイントは /chat/completions のような一般的なパスに一致しないため、単純なパス名のマッチングだけでは検出できません。チャットインターフェースを持たないケース(商品検索、物件評価ツール、レコメンデーションエンジンなど)もあります。そこで、私たちはエンドポイントの「呼ばれ方」ではなく「挙動」を見る検出システムを構築しました。

信頼性の高い検出には十分な有効トラフィックが必要です。検出された AI エンドポイントはダッシュボードの「Security → Web Assets」に表示され、cf-llm とラベル付けされます。Free プランの顧客は Discovery ページに初めてアクセスしたときに検出が開始され、支払プランの顧客はバックグラウンドで定期的に自動検出されます。検出済みのエンドポイントはすぐに確認できます。

検出(Detection)

AI Security for Apps の検出は、AI エンドポイントへのトラフィックに対して常時有効(always-on)です。各プロンプトは、プロンプトインジェクション、PII 抽出、センシティブまたは有害トピックに対する複数の検出モジュールを通されます。検出結果(悪意あるかどうか)はメタデータとして添付され、カスタム WAF ルールでポリシーを強制するために利用できます。

また当社は、世界の約20%のウェブトラフィックを観測するグローバルネットワークを活用して、何百万のサイトにまたがる新しい攻撃パターンをあなたのサイトに到達する前に特定する仕組みを継続的に模索しています。

GA の新機能: カスタムトピック検出

製品にはプロンプトインジェクション、PII 抽出、毒性トピックなどの組み込み検出が含まれますが、企業ごとに「禁止事項」は異なります。金融企業は特定の有価証券についての議論を検出したいかもしれません。医療機関は患者データに触れる会話をフラグにしたいでしょう。小売は競合製品についての問い合わせを検知したい場合があります。

新しいカスタムトピック機能では、これらのカテゴリを定義できます。トピックを指定すると、プロンプトと出力を検査して関連度スコアを返し、そのスコアに基づいてログ、ブロック、または任意のハンドリングを行えます。拡張可能なツールとして、お客様のユースケースに合わせて柔軟に対応することを目指しています。

GA の新機能: カスタムプロンプト抽出

AI Security for Apps は、不正なプロンプトがインフラに到達する前にガードレールを適用します。正確な検出とリアルタイム保護を行うには、まずリクエストペイロード内でプロンプトがどこにあるかを特定する必要があります。プロンプトはリクエストボディのどこにでも存在し得ますし、LLM プロバイダごとに API の構造は異なります。

  • OpenAI や多くのプロバイダはチャット補完で $.messages[*].content を使います。
  • Anthropic のバッチ API は $.requests[*].params.messages[*].content にプロンプトをネストします。
  • カスタムの物件評価ツールは $.property_description を使うかもしれません。

標準的な形式(OpenAI、Anthropic、Google Gemini、Mistral、Cohere、xAI、DeepSeek など)にはデフォルトで対応しています。既知のパターンに一致しない場合は、安全側(default-secure)に寄せてリクエストボディ全体に対して検出を実行します。この動作は、例えば $.customer_name のようなモデルに直接入力されないフィールドが含まれていると不要な PII 検出(誤検出)を引き起こすことがあります。

まもなく、プロンプトを正確に見つけるためのカスタム JSONPath 式をユーザーが定義できるようになり、誤検知を減らして検出精度が向上します。また、アプリケーションの構造に自動適応するプロンプト学習機能も開発中です。

緩和(Mitigation)

脅威が特定・スコア付けされると、既存の WAF ルールエンジンを使ってブロック、ログ、カスタムレスポンスの返却などを行えます。Cloudflare の共有プラットフォームの強みは、AI 固有のシグナルをリクエストに関して当社が持つ他の情報と組み合わせられる点にあります。WAF には数百のフィールドがあり、それらを組み合わせて判断できます。

単独で AI 層のみを見ているポイントソリューションは、たとえばプロンプトインジェクションの試行が「ただの怪しいプロンプト」なのか、ログインページを探索している IP からのアクセスであり、以前の攻撃と紐づくブラウザ指紋を使い、ボットネット経由で回転しているものなのかといった文脈を結びつけられません。これらの文脈を統合して判断できるのが統一セキュリティレイヤーの利点であり、Newfold Digital の Radinger はこれをプロジェクト全体でフェイルセーフとして利用することを期待しています。

エコシステムの拡大

AI Security for Applications は Cloudflare の拡大するエコシステムを通じても利用可能になります。IBM Cloud との統合を通じて、IBM Cloud Internet Services (CIS) を通した顧客は高度なアプリケーションセキュリティを IBM Cloud アカウントから直接調達・管理できます。また、Wiz と連携して AI Security for Applications を Wiz AI Security に接続し、クラウド上でのモデル・エージェント検出からエッジでのアプリケーションレイヤーのガードレールまで、共通顧客に対して AI セキュリティの姿勢を一元的に可視化します。

導入方法

AI Security for Apps は現在 Cloudflare の Enterprise 顧客向けに利用可能です。導入を希望する場合はアカウントチームにお問い合わせください。製品のセルフガイドツアーで動作を確認することもできます。

Free、Pro、Business プランをご利用の方は、今日から AI エンドポイント検出を利用できます。ダッシュボードにログインして「Security → Web Assets」を開き、当社が識別したエンドポイントを確認してください。今後、すべての AI Security for Apps の機能を全プランの顧客に順次提供する予定です。構成の詳細はドキュメントを参照してください。

Cloudflare の接続クラウドは企業ネットワーク全体を保護し、インターネットスケールのアプリケーション構築を効率化し、あらゆるサイトやインターネットアプリケーションを高速化し、DDoS 攻撃を防ぎ、ハッカーから守り、Zero Trust への移行を支援します。どのデバイスからでも 1.1.1.1 にアクセスして、インターネットを高速かつ安全にする無料アプリをお試しください。

より良いインターネットを構築するというミッションについては start here をご覧ください。新しいキャリアをお探しの場合は採用情報をご確認ください。

タグ: Product News, AI, WAF, Security, Application Security, Application Services, server-island-start

AI Security for Apps is now generally available | Cloudflare | DocsDigest