Cloudflare's AI Security for Apps detecteert en neutraliseert dreigingen voor AI-gestuurde applicaties. Vandaag kondigen we aan dat deze service algemeen verkrijgbaar is.
We introduceren nieuwe functies, zoals de detectie van specifieke onderwerpen, en we maken AI-eindpuntdetectie gratis voor elke Cloudflare-klant – inclusief klanten met een Free-, Pro- of Business-abonnement – zodat iedereen inzicht krijgt in waar AI in hun internetgerichte apps wordt ingezet.
Bovendien kondigen we aan dat we hechter met IBM zullen gaan samenwerken, aangezien Cloudflare werd geselecteerd voor de levering van AI-beveiliging aan de cloud-klanten van het bedrijf. En we werken samen met Wiz om onze gezamenlijke klanten een totaaloverzicht van hun AI-beveiligingsstatus te leveren.
Een nieuw soort aanvalsoppervlak
Traditionele webapplicaties hebben gedefinieerde functies: een banksaldo controleren, een overschrijving doen. Daarom is het mogelijk om deterministische regels te schrijven om die interacties te beveiligen.
AI-gestuurde applicaties en agents zijn anders. Ze accepteren natuurlijke taal en genereren onvoorspelbare reacties. Er is geen vaste reeks bewerkingen die toegestaan of geweigerd moet worden, omdat de invoer en uitvoer probabilistisch zijn. Aanvallers kunnen grote taalmodellen manipuleren om ongeoorloofde acties uit te voeren of gevoelige gegevens te lekken. Prompt-injectie, het vrijgeven van gevoelige informatie en een ongebreideld verbruik zijn slechts enkele van de risico’s die zijn opgenomen in de OWASP Top 10 voor LLM-applicaties.
Deze risico's nemen toe naarmate AI-toepassingen steeds vaker als agents gaan functioneren. Wanneer een AI toegang krijgt tot systeemfuncties, zoals terugbetalingen verwerken, accounts aanpassen, kortingen toekennen of klantgegevens raadplegen, kan één enkele kwaadwillige prompt direct een beveiligingsincident veroorzaken.
Klanten vertellen ons over hun uitdagingen. "De meeste teams van Newfold Digital implementeren hun eigen beveiligingsmaatregelen voor generatieve AI, maar iedereen innoveert zo snel dat er onvermijdelijk wel wat hiaten zullen ontstaan", zegt Rick Radinger, Principal Systems Architect bij Newfold Digital, het bedrijf achter Bluehost, HostGator en Domain.com.
Wat doet AI Security for Apps?
Om dit probleem aan te pakken, hebben we AI Security for Apps ontwikkeld. Deze functionaliteit wordt vóór jouw AI-gestuurde applicaties geplaatst, ongeacht of je een model van derden gebruikt of je eigen applicatie host, als onderdeel van de omgekeerde proxy van Cloudflare. Met AI Security for Apps ontdek je (1) AI-gestuurde apps op jouw website, (2) kwaadwillig of afwijkend gedrag op die eindpunten en kun je (3) dreigingen beperken via de vertrouwde WAF-regelbouwer.
Detectie — nu gratis voor iedereen
Voordat je jouw door LLM aangestuurde applicaties kunt beschermen, moet je weten waar ze worden gebruikt. We horen vaak van beveiligingsteams dat ze geen volledig beeld hebben van de AI-implementaties in hun apps, vooral nu de LLM-markt zich verder ontwikkelt en ontwikkelaars van model en aanbieder wisselen.
AI Security for Apps identificeert automatisch door LLM gestuurde eindpunten op al jouw websites, ongeacht waar deze worden gehost of welk model er wordt gebruikt. Vanaf vandaag is deze functie gratis voor alle Cloudflare-klanten, inclusief Free-, Pro- en Business-abonnementen.
De dashboardpagina van Cloudflare met webbestanden, waarop twee voorbeeld-eindpunten te zien zijn met het label cf-llm
Om deze eindpunten automatisch te detecteren, is meer nodig dan alleen het matchen van veelvoorkomende padpatronen, zoals /chat/completions. Veel AI-gestuurde toepassingen hebben geen chatinterface: denk bijvoorbeeld aan productzoekfuncties, tools voor vastgoedtaxaties of aanbevelingssystemen. We hebben een detectiesysteem ontwikkeld dat kijkt naar het gedrag van eindpunten, en niet naar hoe ze heten. Om AI-gestuurde eindpunten met zekerheid te kunnen identificeren, is voldoende geldig verkeer nodig.
De gedetecteerde, door AI aangestuurde eindpunten worden weergegeven onder Security → Web Assets en zijn gelabeld met cf-llm. Voor klanten met een Free-abonnement wordt de eindpuntdetectie gestart zodra je voor het eerst de Discovery-pagina opent. Voor klanten met een betaald abonnement vindt de detectie automatisch en op regelmatige basis op de achtergrond plaats. Als er AI-gestuurde eindpunten zijn gedetecteerd, kun je ze direct bekijken.
AI Security for Apps functioneert op basis van een always-on-approach voor het verkeer naar de door AI aangedreven eindpunten. Elke prompt wordt door meerdere detectiemodules geleid voor controle op prompt-injectie, vrijgave van persoonlijk identificeerbare informatie (PII) en gevoelige of controversiële onderwerpen. De resultaten – ongeacht of de prompt kwaadaardig was of niet – worden als metadata toegevoegd, zodat je die voor aangepaste WAF-regels kunt gebruiken om jouw bedrijfsbeleid af te dwingen. We zijn voortdurend op zoek naar manieren om ons wereldwijde netwerk, dat ongeveer 20% van het internet verwerkt, te benutten om nieuwe aanvalspatronen op miljoenen websites te identificeren voordat ze jouw website bereiken.
Nu algemeen beschikbaar: detectie van specifieke onderwerpen
Het product wordt geleverd met ingebouwde detectie voor veelvoorkomende dreigingen: prompt-injecties, PII-extractie en controversiële onderwerpen. Maar elk bedrijf heeft zijn eigen definitie van wat wel en niet is toegestaan. Een financiële dienstverlener heeft mogelijk behoefte aan het opsporen van discussies over specifieke waardepapieren. Een zorgbedrijf wil mogelijk gesprekken markeren waarin patiëntgegevens aan de orde komen. Een retailer wil mogelijk graag weten wanneer klanten vragen stellen over de producten van concurrenten.
Met de nieuwe functie voor aangepaste onderwerpen kun je deze categorieën instellen. Jij specificeert het onderwerp, wij analyseren de prompts en genereren een relevantiescore die jij kunt gebruiken om de informatie te loggen, te blokkeren of op een andere manier te verwerken, geheel naar eigen keuze. Ons doel is om een uitbreidbare tool te ontwikkelen die zich aan jouw specifieke use cases aanpast.
Relevantiescore van prompts binnen AI Security for Apps
AI Security for Apps zorgt ervoor dat er veiligheidsmaatregelen worden getroffen voordat onveilige verzoeken jouw infrastructuur kunnen bereiken. Willen we deze detecties nauwkeurig uitvoeren en realtime bescherming bieden, moeten we eerst de prompt in de payload van het verzoek identificeren. Prompts kunnen overal in de hoofdtekst van een verzoek voorkomen, en verschillende LLM-aanbieders structureren hun API’s op verschillende manieren. OpenAI en de meeste aanbieders maken gebruik van $.messages[*].content voor het aanvullen van chatberichten. De batch-API van Anthropic nestelt prompts binnen $.requests[*].params.messages[*].content. Jouw aangepaste tool voor het maken van vastgoedtaxaties maakt mogelijk gebruik van $.property_description.
We ondersteunen standaard de indelingen die gebruikt worden door OpenAI, Anthropic, Google Gemini, Mistral, Cohere, xAI, DeepSeek en anderen. Als we geen overeenkomst met een bekend patroon kunnen vinden, passen we een standaardbeveiligingsbeleid toe en voeren we een detectiecontrole uit op de volledige inhoud van het verzoek. Dit kan tot valse positieven leiden wanneer de payload velden bevat die weliswaar gevoelig zijn, maar niet rechtstreeks in een AI-model worden ingevoerd. Een veld zoals $.customer_name naast de eigenlijke prompt kan bijvoorbeeld onnodig een detectie van persoonlijk identificeerbare informatie (PII) activeren.
Binnenkort kun je je eigen JSONPath-uitdrukkingen definiëren om ons precies te laten weten waar we de prompt moeten vinden. Dit zal het aantal valse positieven verminderen en leiden tot nauwkeurigere detecties. We werken ook aan een functie voor het leren van prompts, die zich in de loop der tijd automatisch aan de structuur van jouw applicatie zal aanpassen.
Zodra een dreiging is geïdentificeerd en beoordeeld, kun je deze blokkeren, registreren of er op een specifieke manier op reageren, met behulp van dezelfde WAF-regelsengine die je al voor de rest van jouw applicatiebeveiliging gebruikt. De kracht van het gedeelde platform van Cloudflare is dat je AI-specifieke signalen kunt combineren met alle andere informatie die we over een verzoek hebben, weergegeven in honderden velden die in de WAF beschikbaar zijn. Een prompt-injectiepoging is verdacht. Een promptinjectiepoging vanaf een IP-adres dat jouw inlogpagina heeft verkend, waarbij gebruik wordt gemaakt van een browser-vingerafdruk die in verband wordt gebracht met eerdere aanvallen en dat door een botnet rouleert, is een heel ander verhaal. Puntoplossingen die alleen de AI-laag zien, kunnen deze verbanden niet leggen.
Deze geïntegreerde beveiligingslaag is precies wat ze bij Newfold Digital nodig hebben om AI-eindpunten te detecteren, te identificeren en te beveiligen, aldus Radinger: "We kijken ernaar uit om deze functionaliteit als een betrouwbare back-up voor al deze projecten in te zetten."
AI Security for Apps zal ook beschikbaar worden gesteld via het groeiende ecosysteem van Cloudflare, onder meer via integratie met IBM Cloud. Via IBM Cloud Internet Services (CIS) kunnen eindgebruikers nu al geavanceerde oplossingen voor applicatiebeveiliging aanschaffen en deze rechtstreeks via hun IBM Cloud-account beheren.
We werken ook samen met Wiz om AI Security for Apps aan Wiz AI Security te koppelen. Hierdoor krijgen gezamenlijke klanten een totaaloverzicht van hun AI-beveiligingsstatus, van model- en agentdetectie in de cloud tot beveiligingsmaatregelen op applicatielaag aan de rand van het netwerk.
AI Security for Apps is nu beschikbaar voor Enterprise-klanten van Cloudflare. Neem contact op met je accountteam om aan de slag te gaan, of bekijk het product in actie met een zelfgeleide rondleiding.
Als je een Free-, Pro- of Business-abonnement hebt, kun je nu al gebruikmaken van AI-eindpuntdetectie. Log in op je dashboard en ga naar Security → Web Assets om te zien welke eindpunten we hebben geïdentificeerd. Lees onze updates — we zijn namelijk van plan om alle AI Security for Apps-functies binnenkort beschikbaar te maken voor klanten met al onze abonnementen.
Raadpleeg onze documentatie voor de configuratiegegevens.