Cloudflare, AI 기반 API vulnerability scanner 오픈 베타 시작

Cloudflare는 2026년 3월 9일 X 게시물에서 Web and API Vulnerability Scanner를 공개하고 자세한 출시 글을 함께 연결했다. 회사는 이 제품을 API security용 active defense 계층으로 설명하며, 첫 릴리스는 API Shield 고객 대상 open beta로 시작된다고 밝혔다. 초기 범위는 OWASP API Top 10에서 가장 위험한 항목 가운데 하나인 Broken Object Level Authorization, 즉 BOLA다.

Cloudflare의 핵심 논리는 중요한 API 공격이 프로토콜 차원에서는 정상 요청처럼 보인다는 점이다. 인증된 사용자가 보낸 유효한 요청이지만, 실제로는 business logic를 위반할 수 있다는 것이다. 회사가 제시한 예시에서는 공격자가 합법적인 endpoint와 권한 없는 resource ID를 조합해 다른 사용자의 주문을 변경한다. 문법은 정상이기 때문에, 기존 WAF signature만으로는 부족하고 workflow와 authorization state를 이해하는 보안 도구가 필요하다는 설명이다.

이를 위해 Cloudflare는 scanner가 OpenAPI specification에서 API call graph를 만들고, owner와 attacker 두 가지 context로 그 graph를 순회한다고 밝혔다. 출시 글에 따르면 Workers AI 모델과 structured outputs를 사용해 data dependency를 추론하고, schema가 비어 있는 부분을 메우며, 보안상 중요한 흐름을 재현하는 request 순서를 계획한다. 각각의 요청을 독립적으로 처리하는 단순 DAST와 달리 stateful하게 동작한다는 점이 핵심 차별점이다.

운영 측면 통합도 강조했다. 결과는 Security Insights에 기존 보안 신호와 함께 노출되고, API Discovery와 Schema Learning이 scan plan의 기초 데이터를 제공한다. 백엔드는 Temporal 기반 orchestration, Rust control plane, HashiCorp Vault Transit 기반 credential encryption으로 구성된다고 한다. Cloudflare는 Cloudflare API를 통해 scan 실행과 결과 조회를 지원하므로 CI/CD pipeline이나 security dashboard에 연결하기 쉽다고 설명했다.

이번 발표의 의미는 실무적이다. 설명대로 동작한다면 보안 팀은 공격 경로를 일일이 수작업으로 만들지 않고도 authorization logic를 사전에 검증할 수 있다. 더 큰 흐름으로 보면 API security 도구가 static signature 중심 탐지에서 application behavior를 해석하는 AI-assisted 접근으로 이동하고 있다는 신호이기도 하다. Cloudflare는 BOLA가 시작점일 뿐이며, 이후 더 넓은 API 및 web vulnerability 범위를 추가할 계획이라고 밝혔다.