智慧體可協助您以前所未有的速度建立軟體,但要確保您的環境及所編寫程式碼的安全性(避免人為錯誤與惡意行為),則需要付出切實的努力。開放 Web 應用程式安全專案 (OWASP) 詳細列舉了自主式 AI 系統中存在的許多風險,其中包括認證外洩、使用者身分冒充以及權限提升等風險。這些風險可能對您的環境造成極其嚴重的破壞,例如阻斷服務攻擊、資料遺失或資料外洩,進而引發難以估量的財務損失和聲譽損害。
這是一個身分識別問題。在現代開發中,「身分」不僅僅指人,還包括智慧體、指令碼及代表您行事的第三方工具。要保護這些非人類身分,您需要管理其整個生命週期:確保其認證(權杖)不會外洩、查看哪些應用程式透過 OAuth 擁有存取權,並使用細粒度的 RBAC 來限制其權限。
今天,我們推出多項更新來滿足這些需求:可掃描的權杖,用於保護您的認證;OAuth 可見度,以便於您管理各類主體;以及限定資源範圍的 RBAC,幫助您對安全策略進行精細化調優。
在自主智慧體時代保護網際網路,我們必須重新思考如何處理身分識別。無論請求來自人類開發人員或 AI 智慧體,每次與 API 的互動都依賴三個核心支柱:
主體(旅行者):這是身分本身——即「誰」。可能是您透過 OAuth 登入,或是使用 API 權杖來部署程式碼的背景智慧體。
認證(護照):這是該身分的證明。在這個世界中,您的 API 權杖就是您的護照。如果它被盜或洩露,任何人都可以「冒充」您的身分。
政策(簽證):這定義了該身分被允許做什麼。僅僅擁有有效護照並不意味著您擁有進入每個國家的簽證。政策確保即使是一個經過驗證的身分,也只能存取其所需的特定資源。
當這三個支柱沒有被一起管理時,安全性就會瓦解。您可能會遇到使用被盜認證的有效主體,或是合法的身分卻擁有過於寬鬆的政策。
智慧體與其他第三方應用程式使用 API 權杖來存取 Cloudflare API。我們觀察到,人們最常意外洩露其機密的方式之一,便是將其推送到公開的 GitHub 存放庫。GitGuardian 報告指出,去年有超過 2,800 萬筆機密資訊被發布到公開的 GitHub 儲存庫,而 AI 正導致外洩速度比以往快了 5 倍。
如果 API 權杖是數位護照,那麼將其洩露到公開存放庫,就如同將您的護照遺忘在公園長椅上。任何找到它的人都可以冒充該身分,直到該文件被註銷。我們與 GitHub 的合作夥伴關係,就如同這些認證的全球「失物招領處」。在您意識到護照遺失之前,我們就已經辨識出該文件、透過校驗和驗證其真實性,並將其作廢以防止不當使用。
我們正與數個領先的認證掃描工具合作,協助主動找出您洩露的權杖,並在其被惡意使用前將其撤銷。我們明白,這並非「是否會發生」的問題,而僅僅是「何時發生」的問題——無論是您、您的員工,還是您的一個智慧體,總會犯下錯誤,將機密推到不該出現的地方。
我們已與 GitHub 建立合作夥伴關係,並參與他們的機密掃描計畫,以便在公開和私人存放庫中尋找您的權杖。如果我們收到通知,有權杖已洩露至公開存放庫,我們將自動撤銷該權杖,以防止其被惡意使用。對於私人存放庫,GitHub 會向您傳送通知,提示您清理其中洩漏的 Cloudflare 權杖。
我們已將最新的權杖格式(詳見下文!)分享給 GitHub。如今,GitHub 會在處理每個提交 (Commit) 時,對這些格式進行掃描。一旦偵測到疑似洩漏的 Cloudflare 權杖,系統便會(透過校驗和)驗證其真實性,然後向我們傳送 Webhook 通知以進行撤銷;最後,我們會透過電子郵件通知您,以便您在 Cloudflare 儀表板 (Dashboard) 設定中產生新的權杖。
這意味著,一旦發現安全漏洞,我們就會立即修補。在您意識到自己犯錯時,我們已經將其修復了。
我們希望這是您永遠不需要用到的功能,但我們的合作夥伴會持續監控洩露情況,以協助保障您的安全。
Cloudflare One 客戶同樣受到保護,免於此類洩露風險。透過設定認證與機密 DLP 設定檔,組織可以在認證可能流經的各個環節啟用防護措施:
然而,最新穎的暴露途徑是 AI 流量。Cloudflare AI Gateway 整合了相同的 DLP 設定檔,以即時掃描並封鎖傳入的提示和傳出的 AI 模型回應。
認證掃描要發揮作用,關鍵在於我們能在您所在之處提供保護。因此,我們正與多個開源和商業認證掃描工具合作,確保無論您使用何種機密掃描工具,都能獲得保護。
至今為止,Cloudflare 的 API 權杖看起來相當普通,因此認證掃描工具難以準確地高度辨識它們。這些自動化安全工具會掃描您的程式碼存放庫,尋找暴露的認證,如 API 金鑰、權杖或密碼。「cf」前綴讓 Cloudflare 權杖能立即被高度確信地辨識,而校驗和則讓工具能輕鬆進行靜態驗證。您現有的權杖將繼續有效,但您產生的每個新權杖都將使用可掃描的格式,以便能被輕易且高度確信地偵測到。
認證類型 | 用途 | 新格式 |
使用者 API 金鑰 | 與您使用者帳戶綁定的舊版全域 API 金鑰(完整存取權) | cfk_[40 characters][checksum] |
使用者 API 權杖 | 為特定權限建立的範圍化權杖 | cfut_[40 characters][checksum] |
帳戶 API 權杖 | 由帳戶(而非特定使用者)擁有的權杖 | cfat_[40 characters][checksum] |
如果您已有現有的 API 權杖,您可以重新產生權杖,以建立一個新的、可掃描的 API 權杖。此操作雖非強制,但建議您這麼做,以確保您的權杖萬一外洩時能夠被輕鬆發現。
雖然 API 權杖通常由您自己的指令碼和智慧體使用,但 OAuth 是您管理第三方平台存取權限的方式。兩者都需要清晰的可見度,以防止未經授權的存取,並確保您確切知道有誰(或什麼)能存取您的資料。
當您使用 OAuth 將像 Wrangler 這樣的第三方應用程式連接到您的 Cloudflare 帳戶時,即授予該應用程式存取您帳戶資料的權限。隨著時間推移,您可能會忘記最初為何授予某個第三方應用程式存取您帳戶的權限。過去,沒有一個集中的地方可以檢視和管理這些應用程式。從今天開始,有了。
未來,當第三方應用程式請求存取您的 Cloudflare 帳戶時,您將能夠檢閱:
並非所有應用程式都需要相同的權限;有些僅需要讀取資料,有些可能需要變更您的帳戶。在授予存取權限前理解這些範圍,有助於您保持最低權限原則。
我們還新增了「已連線應用程式」體驗,讓您可以看到哪些應用程式有權存取哪些帳戶、哪些範圍/權限與該應用程式相關聯,並在需要時輕鬆撤銷該存取權限。
開始使用OAuth 授權與撤銷功能的改進現已推出。請造訪「我的個人檔案」>「存取管理」>「已連線應用程式」,查看目前有哪些應用程式有權存取您的帳戶。
對於正在與 Cloudflare 建立整合的開發人員,請關注 Cloudflare 更新記錄,我們很快就會發布更多公告,指導您註冊屬於自己的 OAuth 應用程式!
如果權杖是護照,那麼限定資源範圍的權限就是其中的簽證。擁有有效護照讓您能通過大門,但它不應賦予您進入建築物中每個房間的權限。透過將權限範圍縮小到特定資源(例如單一的負載平衡器集區或特定的 Gateway 政策),您可以確保,即使身分已經驗證,它也僅擁有前往絕對必要之處的「簽證」。
去年,我們宣布在 Cloudflare 的角色型存取控制 (RBAC) 系統中,為多項 Zero Trust 產品支援限定資源範圍的權限。這讓您能為使用者和智慧體設定恰當的權限,以最小化安全風險。我們已將此功能擴展到數項新的資源層級權限。資源範圍現已支援:
存取應用程式
存取身分識別提供者
存取原則
存取服務權杖
存取目標
我們也對 API 權杖的建立流程進行了全面重構,讓客戶能夠更輕鬆地直接從 Cloudflare 儀表板佈建與管理帳戶 API 權杖。
當您將成員新增到您的 Cloudflare 帳戶或建立 API 權杖時,通常會為該主體指派一項政策。權限政策賦予主體執行某項動作的權限,無論是管理 Cloudflare One 存取應用程式,或是管理 DNS 記錄。沒有政策,主體可以進行驗證,但它們未經授權,無法在帳戶內執行任何動作。
政策由三個元件組成:主體 (Principal)、角色 (Role) 和範圍 (Scope)。「主體」是您授予存取權的對象,無論是真人使用者、API 權杖之類的非人類身分 (NHI),或是日益增多的、代表使用者行事的智慧體。「角色」定義了允許他們執行的動作。「範圍」則決定了這些權限適用的位置,以往這僅限於整個帳戶或個別區域。
我們也將在帳戶和區域層級更廣泛地擴展角色範圍,並為許多產品推出多個新角色。
帳戶範圍
CDN 管理
MCP 入口網站
Radar
Request Tracer
SSL/TLS 管理
區域範圍
Analytics
Logpush
Page Rule
網路安全中心
Snippets
區域設定
資源範圍及所有新的帳戶與區域層級角色,現已提供給所有 Cloudflare 客戶使用。您可以透過 Cloudflare 儀表板、API 或 Terraform 來指派帳戶、區域或限定資源範圍的政策。
有關所有可用角色的完整細分以及範圍的運作方式,請參閱我們的角色和範圍文件。
這些更新提供了建構真正最低權限架構所需的細粒度基礎元件。透過改進我們管理權限和認證的方式,開發人員和企業可以對存取 Cloudflare 的使用者、應用程式、智慧體和指令碼的安全性狀態更有信心。最低權限並非新概念,對於企業而言,它也從來都不是一個可選項。無論是人類管理員在管理區域,或是智慧體以程式化方式部署 Worker,期望都是一樣的:他們僅應被授權執行被指派的工作,除此之外,別無其他。
基於今天的發佈內容,我們建議廣大客戶採取以下措施:
審查您的 API 權杖,並盡快重新發行新的、可掃描的 API 權杖。
審查您已授權的 OAuth 應用程式,並撤銷任何您不再使用的應用程式的存取權。
審查您帳戶中的成員與 API 權杖權限,確保使用者根據實際需求充分利用全新的帳戶級、區域級或資源級權限,以縮小您的風險範圍。